Atteinte à la confidentialité des données : de multiples vulnérabilités découvertes dans Google Android

De multiples vulnérabilités ont été découvertes dans Google Android. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données. Google indique que la vulnérabilité CVE-2025-27363 est activement exploitée. 

Le plus grave de ces problèmes est une faille de sécurité de niveau élevé dans le composant System, qui pourrait entraîner l'exécution de code local sans aucun privilège d'exécution supplémentaire. Aucune interaction avec l'utilisateur n'est requise pour l'exploitation. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné en supposant que les mesures d'atténuation de la plate-forme et du service sont désactivées à des fins de développement ou si elles ont été contournées.

RISQUES

• Atteinte à la confidentialité des données
• Déni de service
• Exécution de code arbitraire à distance
• Non spécifié par l'éditeur
• Élévation de privilèges

SYSTÈMES AFFECTÉS

• Android versions antérieures à 13, 14 et 15 avant le correctif du 5 mai 2025

SOLUTIONS

• Passer à la dernière version d'Android dans la mesure du possible
• Surveiller activement les utilisations abusives via Google Play Protect
• Avertir les utilisateurs des applications potentiellement dangereuses
• Activer par défaut Google Play Protect sur les appareils équipés des services Google Mobile

Source : CERT-FR