Exploits du jour zéro trouvés dans la VoIP Android

0
526

Des chercheurs chinois ont découvert pas moins de neuf vulnérabilités «zéro jour» dans la manière dont Android gère la VoIP dans ses versions les plus récentes.

Les chercheurs ont déclaré que la plupart des enquêtes de sécurité portaient sur l’infrastructure réseau et les applications, alors qu’elles avaient décidé de se pencher sur l’intégration VoIP d’Android.

Ils ont découvert des failles qui pourraient permettre à un utilisateur malveillant de:

  • Refuser les appels vocaux
  • Usurper l'identité de l'appelant
  • Effectuer des appels non autorisés
  • Exécuter le code à distance

Les principaux problèmes étaient les fonctions VoLTE et VoWiFi d’Android.

Les chercheurs ont soumis leurs résultats à Google, qui les a confirmés avec des primes de primes de bug.

Ces failles ont été découvertes grâce à une nouvelle combinaison de fuzzing Intent / API sur le périphérique, de fuzzing de paquets côté réseau et d’audit de code ciblé.

Ils ont découvert que les problèmes étaient présents depuis la version 7.0 d'Android jusqu'à la version 9.0 la plus récente, dont les deux tiers pourraient être exploités par un adversaire côté réseau en raison d'un traitement incompatible entre les appels VoIP et PSTN.

Selon les chercheurs, les conséquences de ces vulnérabilités sur la sécurité sont "graves", bien que Google devrait prochainement publier un correctif.

Cependant, ce n'est pas la première fois que les vulnérabilités VoIP ont fait les gros titres ces dernières semaines. Un rapport publié le mois dernier a révélé que le géant des télécommunications Avaya n’avait pas appliqué de correctif à une vulnérabilité connue de son propre système téléphonique, bien qu’il soit disponible depuis 10 ans.

Malheurs de sécurité Android

Cette nouvelle n'arrive que quelques jours après que nous ayons signalé un exploit zéro jour dans le noyau Android, qui pourrait permettre à un pirate informatique malveillant d'accéder à la racine des téléphones Android.

Cette vulnérabilité a été corrigée dans les versions 3.18, 4.14, 4.4 et 4.9 du noyau Android, mais pas dans les versions les plus récentes.

Le problème pour les utilisateurs est que le groupe d'analyse des menaces (TAG) de Google a confirmé que cette vulnérabilité avait déjà été utilisée dans des attaques du monde réel. Cependant, une application malveillante doit déjà être installée et en cours d'exécution sur le téléphone de l'utilisateur.

Via ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire