Une vulnérabilité a été découverte par un développeur spécialisé dans la sécurité informatique et connu sur Twitter sous le nom de Justin Case. Cette vulnérabilité touche une partie des smartphones équipés d’un chipset MediaTek et de la version 4.4 KitKat du système d’exploitation Android (et certainement les sous-versions jusqu’à 4.4.2). La vulnérabilité est grave, car elle offre un moyen simple d’accéder au root du mobile. Et donc à l’ensemble des données.
Quels sont les modèles de SoC et de mobiles concernés ? Impossible de savoir...
Dans son message posté sur le portail de microblogging, Justin Case explique que cette vulnérabilité donne accès aux données cryptées (lesquelles ne le sont donc plus), aux applications, et aux communications entrantes et sortantes du téléphone. Il est possible de contrôler et de bloquer le mobile. Et bien sûr, il est possible d’espionner et de voler des données... A une époque où nous sauvegardons de plus en plus d'informations confidentielles dans nos mobiles (santé, banque, photos, etc.), il est évident que ce genre de vulnérabilité est du pain béni pour les pirates informatiques. D'autant qu'il semble qu'il n'y ait que les utilisateurs avertis qui soient en mesure de vérifier si un téléphone est concerné ou non...
Une vulnérabilité connue et en cours de traitement
MediaTek confirme officiellement l’existence de cette vulnérabilité et affirme qu’une mise à jour sera très rapidement déployée pour la combler. Il semble que son existence soit davantage due à une négligence qu’à une faute de programmation. En effet, MediaTek explique qu’il s’agit d’une fonctionnalité dédiée au debug des terminaux afin de tester l'interopérabilité en Chine. Elle est offerte aux constructeurs qui doivent ensuite impérativement la désactiver avant de lancer la fabrication de leurs téléphones. Et certains d’entre eux ne l’ont justement pas fait. Le fondeur dénonce donc le manque de vigilance des constructeurs.
Impossible naturellement de savoir quelle est la proportion des smartphones sous MediaTek et sous KitKat infectés. Car tous ne le seraient pas. Malheureusement, il va sans dire que ce sont majoritairement des téléphones entrée de gamme qui sont concernés : la nature du chipset et l’absence de mise à jour vers Lollipop le confirment facilement. Une affaire qui nous rappelle le « bug du SMS » que Wiko a subi il y a pratiquement deux ans. Ce bug concernait tous les téléphones de la marque sous MediaTek et sous Jelly Bean, mais les modèles de certains concurrents répondant aux mêmes critères. Depuis, une mise à jour a été déployée. Deux petites semaines y ont été nécessaires.