Google corrige plus de 100 failles identifiées dans le code d’Android. Parmi les brèches, on trouve deux vulnérabilités activement exploitées par des cybercriminels dans le cadre de cyberattaques.
Google vient de publier la mise à jour de sécurité Android de décembre 2025. Le patch corrige un total de 107 vulnérabilités identifiées dans le code du système d’exploitation, ses composants ou dans des ressources proposées par des constructeurs, comme Qualcomm ou MediaTek. Google s’appuie sur une mise à jour en deux temps. En effet, 51 des failles découvertes ont déjà reçu un correctif. Le reste des failles doit être corrigé à partir du 5 décembre.
Pour rappel, Google a revu le rythme de déploiement de ses mises à jour en septembre dernier. Désormais, le géant de Mountain View ne publie plus de patch tous les mois. Les failles critiques ou exploitées par des cybercriminels sont bien corrigées de façon mensuelle. Par contre, les vulnérabilités jugées moins urgentes sont regroupées dans de gros bulletins trimestriels. L’approche permet aux fabricants de téléphones de déployer plus rapidement au moins une partie des correctifs sur leurs appareils.
À lire aussi : 400 apps dans le viseur – ce nouveau malware cherche à vider votre compte et voler vos cryptos
Deux failles Android exploitées par des pirates
Parmi les 51 failles déjà corrigées d’urgence par Google, on trouve deux vulnérabilités qui ont été activement exploitées par des cybercriminels. L’éditeur américain indique que les deux brèches « pourraient déjà faire l’objet d’attaques limitées et ciblées ». Elles affectent Android 13, 14, 15 et 16.
Les deux failles concernant le framework Android. La première vulnérabilité permet à une application ou un code malveillant d’obtenir plus de droits que prévu. Si un attaquant parvient d’abord à faire exécuter du code sur l’appareil, via un lien piégé ou un site web compromis, il peut prendre le contrôle du smartphone. L’attaque peut aboutir à un vol de données sensibles.
La seconde vulnérabilité permet de récupérer des données auxquelles l’attaquant ne devrait pas avoir accès. On parle de l’exfiltration de métadonnées système, identifiants techniques, infos de configuration, voire données utilisateur. Par sécurité, Google n’a pas souhaité communiquer d’informations précises sur les deux failles. L’éditeur attend que la plupart des utilisateurs installent les correctifs pour en dire davantage.
À lire aussi : 239 apps Android malveillantes sur le Play Store – un rapport remet en question la sécurité de Google
Faille critique et déni de service
Citons aussi le correctif concernant une autre faille critique, non exploitée par des pirates. La vulnérabilité pourrait permettre de provoquer un déni de service (DoS) à distance sans privilèges particuliers. Comme l’explique Google, « le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant Framework, qui pourrait permettre de provoquer à distance un déni de service sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire ».
Pour que tous les smartphones Android soient vraiment protégés, les fabricants doivent intégrer les correctifs de sécurité dans leur propre surcouche. Ce processus est susceptible de prendre un certain temps. Il faut ensuite que les utilisateurs prennent la peine d’installer les mises à jour sur leurs appareils. Pour savoir si le correctif est disponible sur votre smartphone, allez dans Paramètres > À propos de l’appareil > Mise à jour logicielle.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.