Date limite de Google Android : vous disposez de 21 jours pour mettre à jour votre téléphone
Un nouvel avertissement du gouvernement concernant la mise à jour des téléphones portables a été émis
Les utilisateurs d’Android viennent de recevoir une autre raison urgente de mettre à jour leurs téléphones, l’agence de cybersécurité du gouvernement américain avertissant qu’une vulnérabilité récemment révélée par Google est attaquée. La date limite pour que cette mise à jour soit installée est le 28 novembre, ce qui donne aux utilisateurs moins de trois semaines pour le faire.
« Android Framework contient une vulnérabilité non spécifiée qui permet une élévation de privilèges » La CISA met en gardeobligeant tous les employés fédéraux à « appliquer des mesures d’atténuation conformément aux instructions du fournisseur ou à cesser d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles ». Ce n’est que le dernier d’une série de zéro-day Android cette année, et bien que l’avertissement de mise à jour ou d’arrêt d’utilisation de votre téléphone soit extrême, le fait que les téléphones soient attaqués amplifie le risque déjà sérieux que représentent les téléphones portables des employés pour les systèmes d’entreprise.
Comme toujours, même si le mandat officiel s’applique uniquement aux employés fédéraux, les avertissements de la CISA s’appliquent beaucoup plus largement, étant donné sa mission « d’aider chaque organisation à mieux gérer les vulnérabilités et à suivre le rythme des activités de menace ». Le catalogue KEV ( Known Exploited Vulnerability ) de CISA est mis à jour pour que les organisations puissent l’utiliser « comme contribution à leur cadre de priorisation de la gestion des vulnérabilités ».
Cela ne fait que 3 jours que Google divulgué CVE-2024-43093avertissant qu’« il y a des indications [it] peut faire l’objet d’une exploitation limitée et ciblée. La bonne nouvelle pour les utilisateurs de Pixel et de Samsung est que cela est désormais déployé dans le cadre de leurs mises à jour de sécurité mensuelles régulières. D’autres constructeurs OEM feront de même : vérifiez votre téléphone.
Vous devez vous assurer que la mise à jour s’installe une fois téléchargée sur votre appareil. Ceux qui utilisent moins de mises à jour mensuelles ont un problème jusqu’à leur prochaine mise à jour. Il est essentiel que vous gardiez cela à l’esprit lorsque vous utilisez votre téléphone. Ceux qui ne bénéficient d’aucun contrat de support actuel devraient clairement considérer les avantages d’une mise à niveau.
Ce n’était pas le seul correctif Zero Day dans la mise à jour Android de novembre. CVE-2024-43047 est également activement attaqué. Cette vulnérabilité qui affecte un certain nombre de chipsets Qualcomm a également été corrigée, mais pas pour tous les OEM. Au moment de la rédaction, cela n’est toujours pas inclus dans la version officielle de Samsungle fabricant de Galaxy avertissant que « certains correctifs à recevoir des fournisseurs de chipsets pourraient ne pas être inclus dans le package de mise à jour de sécurité du mois ». Ils seront inclus dans les prochains packages de mises à jour de sécurité dès que les correctifs seront prêts à être livrés.
J’ai demandé à Samsung quand ce problème serait résolu, et la société m’a répondu qu’elle « prend les problèmes de sécurité très au sérieux ». Nous sommes au courant du rapport concernant des vulnérabilités potentielles dans certains chipsets de Qualcomm et avons travaillé avec Qualcomm pour résoudre ce problème. Nous avons commencé à déployer des mises à jour de sécurité depuis octobre, mais les mises à jour peuvent continuer à être publiées à une date ultérieure, qui varie selon le fournisseur de réseau ou le modèle. Nous recommandons toujours aux utilisateurs de maintenir leurs appareils à jour avec les dernières mises à jour logicielles.
Cette vulnérabilité Qualcomm a déclenché son propre avertissement CISA avec un mandat de mise à jour pour le mois dernier que tous les utilisateurs auront manqué. Il est cependant essentiel qu’ils soient mis à jour dès que possible, pour corriger ce qui pourrait être une menace encore plus dangereuse que la dernière faille du framework Android. Encore une fois, les utilisateurs doivent se méfier de l’utilisation de téléphones portables non corrigés avec des systèmes d’entreprise et doivent être doublement prudents quant à ce sur quoi ils cliquent, installent et ouvrent jusqu’à ce qu’ils soient mis à jour. Cela dit, la réalité est que tout utilisateur connectant des téléphones aux systèmes d’entreprise doit toujours être prudent.
Dans son récent rapport sur les menaces mobiles 2024, Zimpérium a averti que 83 % des sites de phishing étaient conçus spécifiquement pour cibler les appareils mobiles et que près de 70 % des entreprises « ne parviennent pas à sécuriser de manière adéquate les appareils personnels utilisés à des fins professionnelles », avec un chiffre alarmant : « 90 % des cyberattaques réussies proviennent d’appareils terminaux. [and] 71 % des salariés admettent s’être livrés à des actions qu’ils savaient risquées. »
En tant que telle, toutes les entreprises ont intérêt à suivre le mandat de la CISA lorsqu’une vulnérabilité est connue pour avoir été exploitée et à s’assurer que les employés la mettent à jour ce mois-ci. Les utilisateurs à domicile doivent suivre leurs mêmes conseils pour les mêmes raisons.
