Google a publié des correctifs pour 62 vulnérabilités dans la mise à jour de sécurité d’Android d’avril 2025, dont deux zero-days exploités dans des attaques ciblées.
L’un des zero-days, une vulnérabilité de sécurité d’escalade de privilèges de gravité élevée (CVE-2024-53197) dans le pilote USB-audio du noyau Linux pour les périphériques ALSA, aurait été exploitée par les autorités serbes pour déverrouiller les appareils Android confisqués dans le cadre d’une chaîne d’exploitation zero-day développée par la société israélienne de criminalistique numérique Cellebrite.
Cette chaîne d’exploits-qui comprenait également une classe vidéo USB zero-day (CVE-2024-53104) corrigée en février et une interface humaine zero-day Devices (CVE-2024-50302) corrigée le mois dernier) – a été découverte par le Laboratoire de sécurité d’Amnesty International à la mi-2024 lors de l’analyse des journaux trouvés sur des appareils déverrouillés par la police serbe.
Google a déclaré à Breachtrace en février que ces correctifs avaient été partagés avec les partenaires OEM en janvier.
« Nous étions conscients de ces vulnérabilités et des risques d’exploitation avant ces rapports et avons rapidement développé des correctifs pour Android. Des correctifs ont été partagés avec les partenaires OEM dans un avis aux partenaires le 18 janvier », a déclaré un porte-parole de Google à Breachtrace .
La deuxième correction du jour zéro de ce mois-ci (CVE-2024-53150) est une vulnérabilité de divulgation d’informations du noyau Android causée par une faiblesse de lecture hors limites qui permet aux attaquants locaux d’accéder à des informations sensibles sur des appareils vulnérables sans interaction de l’utilisateur.
Les mises à jour de sécurité Android de mars 2025 corrigent également 60 autres vulnérabilités de sécurité, dont la plupart sont des failles d’élévation de privilèges de gravité élevée.
Google a publié deux ensembles de correctifs de sécurité, les niveaux de correctifs de sécurité 2025-04-01 et 2025-04-05. Ce dernier fournit tous les correctifs du premier lot et les correctifs de sécurité pour les sous-composants tiers et du noyau à source fermée, qui ne s’appliquent pas nécessairement à tous les appareils Android.
Les appareils Google Pixel reçoivent ces mises à jour immédiatement, tandis que les autres fournisseurs mettent souvent plus de temps à tester et à affiner les correctifs de sécurité pour leurs configurations matérielles spécifiques.
En novembre 2024, Google a également corrigé un autre jour zéro Android (CVE-2024-43047), d’abord étiqueté comme exploité par Google Project Zero en octobre 2024 et utilisé par le gouvernement serbe dans des attaques de logiciels espions NoviSpy contre des appareils Android appartenant à des militants, des journalistes et des manifestants.