Adam Donenfeld, chercheur en sécurité chez Check Point, a fait grand bruit dimanche à la conférence DefCon, en dévoilant les conclusions d'un livre blanc dédié à l'analyse de quatre failles de sécurité découvertes au printemps. Surnommé Quadrooter, cet ensemble concerne tous les smartphones Android équipés de composants Qualcomm. En théorie, le parc vulnérable se monterait à 900 millions d'appareils. D'après Check Point, ces quatre failles se situent au niveau des pilotes associés aux chipsets Qualcomm, et sont suffisamment sérieuses pour qu'un attaquant parvienne à prendre le contrôle complet du terminal visé, en conduisant par exemple l'utilisateur à installer une application dûment piégée.
Un porte-parole de Qualcomm a indiqué à ZDnet que la société avait déjà comblé ces quatre failles et fait parvenir les correctifs nécessaires à ses partenaires et clients constructeurs. Deux de ces rustines ont d'ailleurs été intégrées aux mises à jour mensuelles d'Android, celles que Google distribue directement sur les téléphones de la gamme Nexus. Pour les terminaux émanant de fabricants tiers, la situation est cependant plus compliquée, du fait d'un cycle de mise à jour propre à chaque marque.
Au-delà de la vulnérabilité proprement dite, c'est surtout ce processus qui interpelle les experts en sécurité. « Les mises à jour de sécurité critiques doivent passer au travers de toute la chaîne d'approvisionnement avant d'être disponibles pour les utilisateurs finaux », résume Check Point dans sa note d'information. Du fabricant de puces au mobinaute, il peut en effet s'écouler plusieurs semaines, le temps que le patch passe par Google, le fabricant du téléphone et, dans certains cas, l'opérateur mobile.
Dans sa mise à jour d'août, Google affirmait ne pas avoir eu connaissance de cas où ces vulnérabilités auraient été exploitées. La dernière des quatre failles devrait être corrigée avec la mise à jour du mois de septembre. Check Point a de son côté publié sur Google Play un outil permettant de savoir si son téléphone est concerné par Quadrooter.