Une faille matérielle permet de hacker certains smartphones Android

Le Google Project Zero vient de découvrir qu’une faille matérielle de certains smartphones Android les exposait aux hackers.

Pour réaliser leurs méfaits, les hackers profitent souvent de failles ou de bugs présents dans les logiciels et applications. Mais l’une des dernières trouvées par le Google Projet Zero va être plus dure à combler. En effet, il s’agit d’une faille matérielle.

Certains anciens smartphones Android concernés

C’est le site The Hacker News qui explique le détail de la faille matérielle qui touche certains SoC de smartphones Android. En effet, ce sont les SoC Qualcomm Snapdragon 800 et 801 qui sont concernés, soient des smartphones tels que les Nexus 5, LG G2 ou HTC One M8. En fait, ce sont le GPU et sa mémoire, la DRAM, qui sont en cause et qui sont exploités par du code nommé GLitch (avec un L majuscule).

Ce GLitch est une variante d’un exploit déjà existant connu sous le nom de Rowhammer. Ce dernier fonctionnait sur PC, Linux ainsi que sur Android, mais nécessitait « l’installation » d’un malware sur l’appareil. Par contre, la différence pour GLitch est de taille puisqu’il suffit d’une page web pour exploiter la faille.

La DRAM des smartphones en cause

En effet, la protection de certaines puces DRAM peut-être contournée à la suite d’actions répétées. Le code GLitch permet aux hackers d’utiliser du code JavaScript sur une page web pour faire appel à la librairie WebGL (GL -> GLItch) puis de passer outre la protection. Et le tout en moins de deux minutes. Les navigateurs web mobiles « compatibles » avec GLitch sont Chrome et Firefox.

Le problème est que la faille est matérielle et ne peut être corrigée telle que. Google travaille avec les chercheurs de VUSec Lab et de l’Université Libre d’Amsterdam qui avaient trouvé Rowhammer à travers le Google Project Zero.

Voici une vidéo de démonstration de l’utilisation de GLitch. « Attention », ce ne sont que des lignes de codes pour les amateurs du genre :