Avec l'exploit Dirty Pipes, vous pourriez perdre le contrôle de votre téléphone Pixel 6 ou Galaxy S22

Une nouvelle vulnérabilité appelée Dirty Pipe peut affecter les appareils exécutant Android 12. Connu sous le nom de CVE-2022-0847 (c’est-à-dire son numéro de vulnérabilités et d’expositions communes attribué à des failles de sécurité connues), Dirty Pipe pourrait être exploité pour permettre aux applications Android avec l’autorisation de lire vos fichiers, effectuer des actions malveillantes à leur encontre et éventuellement prendre le contrôle de votre téléphone.

La vulnérabilité affecte les appareils alimentés par Linux tels que les appareils Android et Google Home, les Chromebooks, etc. La vulnérabilité a été introduite sur Android avec la version 5.8 de Linux qui a été publiée en 2020.

D’après un tweet d’ArsTechnica Ron Amadeo, seuls les téléphones qui ont été lancés avec Android 12 installé comme la série Pixel 6 et la série Galaxy S22 sont concernés par Dirty Pipe. Le développeur qui a initialement découvert la vulnérabilité a utilisé un Pixel 6 pour signaler Dirty Pipe à Google. 9to5Google rapporte que la bonne nouvelle est qu’à ce jour, personne n’a exploité Dirty Pipe bien que certains développeurs aient créé des exemples de preuve de concept qui montrent avec quelle facilité la vulnérabilité peut être exploitée.

Ron Amadeo d’Ars Technica explique que Dirty Pipes n’affecte que les téléphones sortis avec Android 12 et non mis à jour

Pour vous assurer que vos téléphones de la série Pixel 6 ou Galaxy S22 n’ont pas de tuyaux sales, accédez à Réglages > Version Android et regardez la version du noyau. S’il est supérieur à 5,8, votre téléphone est potentiellement à risque.

Le développeur Android Max Kellermann a découvert la vulnérabilité et le 23 février, Linux a publié des correctifs (5.16.11, 5.15.25, 5.10.102). Le lendemain, Google a fusionné le correctif de Kellermann dans le noyau Android. Pourtant, le numéro CVE n’a pas été inclus dans le bulletin de sécurité de mars qui vient de sortir, ce qui signifie que soit Google enverra un correctif spécial pour la série Pixel 6 et Samsung pour la série Galaxy S22, soit la vulnérabilité sera corrigée dans la version de sécurité d’avril. .

Pour éviter que votre nouveau Pixel 6, Pixel 6 Pro, Galaxy S22, Galaxy S22+ et Galaxy S22 Ultra n’obtienne des « tuyaux sales », n’exécutez pas d’applications auxquelles vous ne pouvez pas faire confiance. Et pour une protection optimale, n’installez aucune nouvelle application tant que nous n’avons pas constaté que Google a publié le correctif spécifiquement pour Dirty Pipes. C’est peut-être une question énorme, mais pourquoi risquer de confier l’accès root de votre téléphone à quelqu’un qui aimerait voler vos informations personnelles parce que vous souhaitez télécharger votre cinquième application météo.

Le 4 avril, Google publiera le correctif de sécurité d’avril et nous verrons si Google a corrigé la vulnérabilité à ce moment-là. S’il est corrigé plus tôt, nous vous le ferons savoir.