Une méchante faille de sécurité « 0 Day » a affecté plusieurs modèles de smartphones sous Android, dont des Pixel (1 et 2), des Galaxy relativement récents (S7, S8, S9), et aussi le P20 de Huawei. D'après l'équipe du Project Zero de Google à l'origine de cette découverte, cette vulnérabilité pourrait aussi fonctionner sur d'autres appareils mais elle n'a pas pu le confirmer.

Cette vulnérabilité a déjà été exploitée par NSO Group, une société israélienne bien connue de nos services, dont l'activité consiste à vendre des outils de surveillance et des failles à des agences de sécurité parfois peu regardantes. Pour que la faille fasse son boulot, il faut pousser la victime à réaliser une action (ou avoir un accès physique à l'appareil ciblé). Ensuite, le malandrin obtient un accès root au smartphone.

Les zélés du Project Zero ont donné sept jours aux collègues en charge de la sécurité d'Android pour boucher la vulnérabilité, avant de la rendre publique. Habituellement, c'est 90 jours, mais cette faille étant déjà exploitée, le délai est beaucoup plus court. La faille a été communiquée aux partenaires de Google, tandis que les Pixel 1 et 2 recevront le correctif par le biais de la mise à jour mensuelle du mois d'octobre. Les Pixel 3 et 3a ne sont pas concernés.

Étrangement, cette faille avait déjà été corrigée en décembre 2017, mais tel le phénix noir, elle est réapparue dans le noyau Android.