Google a publié sa dernière mise à jour de sécurité mensuelle pour les appareils Android, y compris un correctif qui corrige un bug sérieux dans certains chipsets Wi-Fi Broadcom qui affecte des millions d’appareils Android, ainsi que certains modèles d’iPhone.
BroadPwn, une vulnérabilité classée critique
Cette faille s’appelle BroadPwn et elle permet l’exécution de code à distance. Elle est présente sur la famille de chipsets WiFi BCM43xx de Broadcom, qui peut être déclenchée à distance sans interaction entre les utilisateurs. Ce bug permet donc à un hacker d’exécuter un code malveillant sur des appareils Android ciblés avec des privilèges kernel.
La vulnérabilité BroadPwn (CVE-2017-3544) a été découverte par Nitay Artenstein, chercheur chez Exodus Intelligence. Il affirme que le chipset Wi-Fi défectueux touche aussi les plates-formes iOS. Les détails concernant le bug BroadPwn sont difficiles à trouver pour le moment. « La famille de puce Wi-Fi BCM43xx de Broadcom se trouve dans une gamme extraordinairement large de périphériques mobiles, y compris les différents modèles d’iPhone, les HTC, les LG, les Nexus et pratiquement toute la gamme de smartphone de Samsung », explique le résumé de l’article d’Artenstein.
Outre le correctif pour la vulnérabilité BroadPwn, la toute dernière mise à jour de Google comprend également des correctifs pour 10 problèmes critiques, qui sont tous des bugs d’exécution de code à distance, 94 problèmes à haut risque et 32 vulnérabilités classiques modérées.
Android et iOS, même combat
Déjà, il y a quelques mois, une vulnérabilité de piratage de piratage en direct a été découverte dans les puces Broadcom Wi-Fi SoC, permettant aux hackers dans un même réseau Wi-Fi de pirater à distance les iPhones, les iPads, les iPods et les téléphones Android sans aucune interaction avec l’utilisateur. À ce moment-là, Apple a lancé une mise à jour d’urgence pour iOS afin de résoudre le grave problème.