Une vulnérabilité a été découverte dans OxygenOS, la surcouche Android des smartphones OnePlus. Une fois exploitée, cette faille de sécurité permet à toute application installée sur le téléphone d’accéder aux données SMS, ainsi qu’aux métadonnées, sans jamais demander l’autorisation de l’utilisateur. La défaillance a été identifiée par les chercheurs de Rapid7. Elle concerne les versions d’OxygenOS de la 12 et la dernière en date, la 15. Le problème aurait été « introduit dans le cadre d’OxygenOS 12, sorti en 2021 ».
Dans leur rapport, les chercheurs indiquent que la vulnérabilité découle directement de la manière dont le système d’exploitation fonctionne. En effet, OxygenOS ne mise pas sur le « Telephony Provider », un composant central du système Android qui sert de base de données et de couche d’accès pour la messagerie, les paramètres de l’opérateur et diverses métadonnées télécom. Au lieu de passer par ce module Android, OnePlus s’appuie sur ses propres modules, à savoir PushMessageProvider, PushShopProvider, et ServiceNumberProvider.
À lire aussi : révélé avant sa sortie, le OnePlus 15 n’a plus rien à voir avec ses prédécesseurs
Un vrai risque de vol de données
Selon les chercheurs de Rapid7, ces modules utilisés par OnePlus ne sont pas conçus pour restreindre l’accès des applications aux SMS. Il n’y a pas de restriction empêchant une application Android d’aller fureter dans les données SMS de l’appareil. Les chercheurs précisent qu’il y a un véritable risque de vols de données, car l’application est en mesure de rechercher activement des SMS dans la base de données du smartphone. En se servant d’un algorithme, un pirate pourrait parvenir à « exfiltrer le contenu de la base de données ».
La faille menace d’abord la vie privée des utilisateurs en exposant l’intégralité de leurs échanges par SMS. Pire, elle peut permettre à une application malveillante d’intercepter des codes de connexion envoyés par SMS. La vulnérabilité peut donc permettre de contourner un système d’authentification à deux facteurs afin de mener à bien une cyberattaque. En d’autres termes, un hacker disposant de vos identifiants et de vos mots de passe ne rencontrerait pas d’obstacles en tentant de pirater l’un de vos comptes. C’est un danger pour toute votre vie numérique.
« Une faille de cette ampleur pourrait constituer une aubaine, à la fois pour des acteurs étatiques cherchant à surveiller leurs cibles et pour des régimes autoritaires désireux de réprimer la dissidence politique », déclarent les chercheurs de Rapid7.
OnePlus ouvre une enquête
Les chercheurs de Rapid7 ont pu exploiter la vulnérabilité pour compromettre les SMS sur plusieurs smartphones OnePlus, y compris le OnePlus 10 Pro. Ils s’attendent « à ce que cette vulnérabilité affecte d’autres appareils OnePlus » qui tournent sous une version vulnérable d’OxygenOS.
OnePlus indique avoir lancé une enquête sur le problème. La marque chinoise, filiale d’Oppo, reconnait en tout cas la présence d’une vulnérabilité. Nous avons contacté OnePlus pour en savoir plus, mais nous n’avons pas encore obtenu de réponse. En attendant un correctif, on vous recommande de redoubler de vigilance et de trier sur le volet toutes les applications que vous installez sur votre smartphone OnePlus.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Rapid7
