Si Android c’était un moteur de voiture, et tu ouvrais le capot et fouinais un peu, tu trouverais l’étiquette « Linux » gravé sur le bloc moteur. Le système d’exploitation open source fournit le point de départ sur lequel Android est construit, mais le partage de code signifie également le partage de vulnérabilités. Maintenant, un bogue du noyau Linux récemment découvert soulève des inquiétudes pour la sécurité des appareils Android, comme il laisse une porte ouverte à l’intrusion de logiciels malveillants.
Le bug en question a été surnommé « Dirty Pipe » par l’ingénieur logiciel Max Kellerman, qui fournit une rédaction détaillée sur la découverte du bogue. Il a repéré pour la première fois des fichiers journaux mystérieusement corrompus l’année dernière, et son analyse du problème a révélé une faille au niveau du noyau qui existait depuis 2020. La vulnérabilité permet au logiciel d’écraser le cache de la page système, même pour les fichiers où les applications ne devraient pas autrement avoir l’autorisation. Il a déterminé que dans de mauvaises mains le problème avait un potentiel d’exploitation et a alerté l’équipe derrière Sécurité du noyau Linux. Les logiciels malveillants correctement codés pourraient utiliser cette méthode pour obtenir le contrôle total d’un système vulnérable en écrasant des fichiers aussi vitaux que le mot de passe racine du système.
Kellerman a également pu reproduire le bogue sur un Pixel 6, et a contacté Google pour l’en informer. La société a également préparé un correctif et l’a fusionné dans le noyau Android. À l’heure actuelle, il s’agit simplement pour les OEM d’intégrer ce noyau fixe dans les futures mises à jour des appareils.
Pour ce que ça vaut, Google confirmé à la police Android que Dirty Pipe a fait ne pas jouer un rôle dans le retardement de la libération Android 12L pour le Pixel 6. Les utilisateurs de Linux, quant à eux, doivent installer les mises à jour de sécurité les plus récentes de leur distribution dès que possible.