MacBidouille

Google a annoncé la mise à jour d'un patch visant à combler deux failles considérées comme majeures dans Android.

La première faille portant la numérotation CVE 2016-3861. Elle est considérée comme extrêmement grave car elle permet lorsqu'elle est exploitée une prise de contrôle totale des appareils avec escalade de privilèges et installation de tout et n'importe quel code en leur sein.

La seconde, CVE-2016-3862, permet la prise de contrôle à distance d'appareils Android en leur envoyant une fausse image .jpg par les réseaux sociaux ou SMS. Cette fausse image fera planter le code chargé de l'afficher et ensuite permettra d'y injecter un nouveau code malicieux.

La société a dans la foulée retiré de son store des logiciels qui exploitaient cette seconde faille.

On va toutefois se trouver face à un problème récurrent sous Android. Si les patchs sont proposés de suite sur les appareils Nexus, il faudra du temps (si cela arrive) pour que les autres sociétés vendant des appareils avec l'OS mobile de Google ne proposent leurs propres mises à jour. Ces failles pourront donc hélas être exploitées pendant un bon moment par des pirates et autres agences gouvernementales.