CVE-2025-48595 : Android Framework exploité, CISA KEV

Les faits

CVE-2025-48595 est une vulnérabilité de type integer overflow (débordement d'entier, CWE-190) découverte dans la couche Android Framework — l'ensemble des APIs et services fondamentaux sur lesquels reposent toutes les applications Android. Avec un score CVSS v3.1 de 8.4 (Élevé), cette faille permet à une application malveillante installée sur l'appareil d'élever ses privilèges jusqu'au niveau système, sans nécessiter de privilèges d'exécution supplémentaires ni d'interaction de l'utilisateur. La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté CVE-2025-48595 à son catalogue Known Exploited Vulnerabilities (KEV) le 2 juin 2026, confirmant une exploitation active in-the-wild, et a fixé la date limite de remédiation au 5 juin 2026 pour les agences fédérales civiles américaines sous la directive BOD 22-01.

La nature d'un integer overflow (CWE-190) dans l'Android Framework se comprend ainsi : une opération arithmétique sur un entier produit un résultat qui dépasse la valeur maximale représentable par le type de données utilisé, provoquant un « wraparound » ou un comportement mémoire inattendu exploitable par un attaquant. Dans le cas de CVE-2025-48595, cette anomalie arithmétique affecte plusieurs emplacements du code Framework, selon les analyses de SOCRadar et Threat-Modeling.com publiées début juin 2026. L'overflow entraîne une corruption mémoire permettant à un attaquant d'exécuter du code arbitraire dans un contexte de privilèges élevés.

Le mécanisme d'exploitation, décrit par les chercheurs ayant analysé la faille, suit un schéma typique des failles d'escalade de privilèges Android : une application installée sans permissions spéciales envoie un Intent malveillant contenant une valeur entière très grande et spécifiquement construite vers un service Framework vulnérable. Ce service, lors du parsing de la valeur, provoque un integer overflow qui amène l'allocateur mémoire à allouer un buffer de taille zéro au lieu d'un buffer adapté. L'application peut alors écrire une payload volumineuse dans ce buffer sous-dimensionné, provoquant un heap overflow. La payload embarque une chaîne ROP (Return-Oriented Programming) désactivant SELinux ou obtenant un shell root, selon les analyses publiées par Threat-Modeling.com dans son rapport Android Framework Zero-Day de juin 2026.

L'impact sur la surface d'attaque Android est considérable : étant une vulnérabilité de couche Framework, CVE-2025-48595 affecte tous les appareils Android quel que soit le fabricant — Google Pixel, Samsung Galaxy (A, S, Z Series), OnePlus, Motorola, Xiaomi, Oppo, Realme, Sony Xperia et l'ensemble des OEM utilisant Android. Google a confirmé l'exploitation active dans son bulletin de sécurité Android de juin 2026, une information suffisamment grave pour déclencher l'inscription immédiate au catalogue CISA KEV. Cette inscription signale que la vulnérabilité est utilisée par des acteurs malveillants dans des attaques réelles, et non simplement une preuve de concept théorique.

La vulnérabilité a été identifiée comme un zero-day : elle était exploitée dans la nature avant que Google publie un correctif. Ce schéma est caractéristique des failles Android ciblées par des acteurs de menace sophistiqués — groupes APT étatiques ou vendeurs de spyware commercial (Pegasus, Predator et équivalents) — qui exploitent des vulnérabilités de privilège Android pour contourner le modèle de sandboxing applicatif et obtenir un contrôle total sur l'appareil cible. L'absence de toute exigence d'interaction utilisateur (UI:N dans le vecteur CVSS) est un indicateur supplémentaire d'une exploitation silencieuse, typique des attaques de surveillance ciblée.

Google a intégré le correctif dans le niveau de patch de sécurité Android 2026-06-01, publié le 2 juin 2026. Ce niveau couvre les composants fondamentaux de l'OS Android (Framework, System) et corrige 18 vulnérabilités critiques selon le bulletin de sécurité Google. Le niveau complémentaire 2026-06-05 inclut tous les fixes du niveau 2026-06-01 plus des correctifs pour les sous-composants kernel Linux et les drivers de fabricants tiers Qualcomm et MediaTek. Les appareils Google Pixel ont reçu la mise à jour en OTA dès le 2 juin 2026. Pour les autres OEM, les délais de déploiement varient de quelques jours à plusieurs semaines selon les constructeurs et opérateurs téléphoniques.

Selon GBHackers (CISA Alerts Users to Actively Exploited Android Framework Security Vulnerability) et le blog Rankiteo, la CISA a spécifiquement ciblé les agences fédérales américaines pour une remédiation accélérée, avec une deadline fixée à 72 heures après l'ajout au KEV — soit le 5 juin 2026. Cette urgence extrême reflète la gravité de l'exploitation active confirmée. Au-delà des agences fédérales, la CISA recommande à l'ensemble des organisations gérant des appareils Android professionnels d'appliquer le patch en priorité ou de restreindre l'accès aux données sensibles depuis les appareils non patchés.

Le contexte de découverte suggère que CVE-2025-48595 était utilisé dans des attaques ciblées avant sa correction, probablement dans le cadre de chaînes d'exploitation multi-étapes combinant un vecteur d'infection initial (application malveillante, lien de phishing) et cette escalade de privilèges pour obtenir un contrôle total sur l'appareil. La mention d'une exploitation in-the-wild confirmée par Google, combinée à l'inscription CISA KEV, en fait l'une des failles Android les plus importantes de l'année 2026 à ce jour, selon les analystes de CyberSecurityNews et CyberExpress qui ont suivi son développement.

Impact et exposition

La surface d'attaque de CVE-2025-48595 est la plus large possible dans l'écosystème Android : tout appareil Android non patché est potentiellement vulnérable, indépendamment du fabricant, de l'opérateur ou du modèle. Les organisations qui déploient des appareils Android dans un contexte professionnel — flotte d'appareils mobiles d'entreprise, accès aux emails et VPN corporate, applications métier, authentification MFA — sont particulièrement exposées. Une compromission via CVE-2025-48595 peut permettre à un attaquant d'accéder aux emails professionnels, aux tokens d'authentification, aux documents stockés sur l'appareil et aux certificats VPN, servant de point d'entrée vers le réseau d'entreprise.

Les populations les plus à risque incluent : les executives et personnels sensibles dont les appareils mobiles contiennent des informations stratégiques ; les équipes de sécurité utilisant des appareils Android pour des accès privilégiés ; les environnements BYOD (Bring Your Own Device) où la gestion des mises à jour est moins centralisée ; et les appareils Android utilisés comme authentificateurs (TOTP, push MFA) dont la compromission permettrait de contourner l'ensemble de la chaîne d'authentification. L'exploitation confirmée in-the-wild suggère que des victimes ont déjà été touchées, probablement dans le cadre d'attaques ciblées de type APT ou espionnage.

Sur le plan de la disponibilité du patch, les appareils les plus récents (Google Pixel, Samsung Galaxy S/Z récents) reçoivent les mises à jour rapidement, mais de nombreux appareils milieu de gamme ou anciens peuvent attendre plusieurs semaines, voire ne jamais recevoir le patch si leur version d'Android a atteint la fin de support. Les administrateurs MDM doivent imposer un niveau minimal de patch de sécurité Android (2026-06-01) et bloquer l'accès aux ressources d'entreprise pour les appareils non conformes.

Recommandations immédiates

• Appliquer le patch de sécurité Android juin 2026 (niveau 2026-06-01 ou 2026-06-05) dès sa disponibilité sur chaque appareil — Google Android Security Bulletin juin 2026
• Vérifier le niveau de patch actuel : Paramètres > À propos du téléphone > Informations sur le logiciel > Niveau de correctif de sécurité Android
• Via MDM (Microsoft Intune, VMware Workspace ONE, Jamf, MobileIron) : créer une politique de conformité imposant le niveau de patch 2026-06-01 minimum et bloquer l'accès aux ressources corporate pour les appareils non conformes
• N'installer des applications qu'depuis le Google Play Store officiel et activer Google Play Protect pour détecter les applications malveillantes exploitant cette faille
• Pour les appareils hors support ou sans mise à jour disponible : envisager le remplacement ou l'isolement de l'appareil du réseau d'entreprise
• Auditer les applications installées sur les appareils de la flotte pour identifier des applications tierces suspectes pouvant abuser de CVE-2025-48595