Un très sérieux problème de sécurité affecte actuellement la plupart des appareils sous Android. Une faille permet en effet de déclencher l’exécution d’un code arbitraire via un simple MMS. Et si un correctif existe, beaucoup risquent de passer à côté. On fait le point.
Les problèmes de sécurité ne sont pas rares sur Android, mais ils sont le plus souvent liés aux mauvaises manipulations des utilisateurs eux-mêmes. Le système mobile laisse le choix notamment d’installer des applications par d’autres sources que le Play Store, pavant la voie aux malwares contenus dans certains distributeurs bien peu scrupuleux. Mais cette fois, il est question d'un problème bien plus sérieux. Car un utilisateur peut voir son smartphone piraté sans qu’il ait besoin d’effectuer la moindre action.
Une faille dans Stagefright, responsable des contenus multimédias
La vulnérabilité réside dans Stagefright, une bibliothèque Android en charge de la lecture de certains formats multimédia. Elle a été trouvée par une équipe de chercheurs de Zimperium, qui indique qu’en raison des impératifs de performances au niveau du multimédia justement, le code est rédigé en C++, « plus souvent sujet aux corruptions de mémoire que les langages memory-safe tels que Java ».
Pour les chercheurs, qui ont trouvé la brèche en analysant le code d’Android via l’AOSP (Android Open Source Project), le problème serait le plus sérieux jamais découvert puisqu’il toucherait pas moins de 95 % des utilisateurs de la plateforme mobile. Zimperium, en se basant sur un chiffre d’un milliard d’appareils en circulation, estime donc que 950 millions d’entre eux sont vulnérables, les anciennes versions d’Android étant encore plus exposées.
Le problème de la bibliothèque Stagefright est qu’elle est appelée chaque fois qu’un contenu pris en charge est repéré. Il suffit par exemple qu’un simple MMS arrive sur un téléphone pour qu’elle commence à traiter la photo ou la vidéo qui y est contenue. L’utilisateur n’a pas besoin de réveiller son téléphone et d’aller lire le MMS en question, puisque le travail est effectué en amont.
Si un code particulier est intégré dans un cliché, Stagefright se charge de le lire et de le traiter, ouvrant alors la voie à un malware. Un autre scénario possible est la visite d’une page web spécialement conçue puisque la bibliothèque est appelée par d’autres applications pour lire les photos, vidéos, etc. Cela est donc loin de concerner seulement les outils de messageries.
Facile à mettre en œuvre et à masquer
En fait, la faille ouvre tellement de portes qu’une attaque bien préparée pourrait ne laisser aucune trace. Selon les chercheurs, des pirates pourraient tout à fait préparer un MMS contenant à la fois le code d’un malware et une séquence d’instructions visant notamment à supprimer le message. L’utilisateur peut très bien avoir été piraté la nuit pendant qu’il dormait et ne pas trouver le moindre signe d’une activité suspecte à son réveil. C’est évidemment tout le danger : aucune action n'étant nécessaire.
En elle-même, la faille peut donner accès à un certain nombre de données, au minimum la pellicule photo, aux périphériques audio ainsi qu’au stockage externe (carte mémoire). Zimperium indique bien qu’une sandbox permet en théorie de bloquer ce type d’accès, mais les chercheurs insistent sur le peu d’étapes qu’une attaque aurait à accomplir pour s’affranchir de cette limite. Le problème est pire sur les anciennes versions d’Android car les privilèges accordés au code lu par Stagefright sont plus importants.
La faille est en fait décrite comme « pire que Heartbleed », puisque toutes les versions d’Android sont concernées à partir de la 2.2. Les moutures du système antérieures à la 4.3 sont les plus concernées car aucun mécanisme d’atténuation n’est présent dans le système.
Google a réagi rapidement, mais...
Pourtant, Google a manifestement été très rapide à réagir, Zimperium remerciant d’ailleurs la firme pour sa promptitude. Les chercheurs ont fourni les explications ainsi que des patchs pour le code d’Android, que Google a analysés et intégrés dans son système en à peine 48 heures. Mais voilà, cela date de plusieurs mois puisque ces informations ont été envoyées en avril et en mai à Google. Le problème est donc connu depuis plus de trois mois.
Et le fait d’intégrer les correctifs dans le code d’Android n’est que la première d’une longue série d’étapes, car l’arrivée effective du patch sur les appareils mobiles prendra plus de temps. Selon Zimperium, seul le Nexus 6 est en partie protégé, sans qu'il soit précisé pourquoi. Sans doute parce qu’il possède une version plus récente d’Android, qui contient une correction partielle.
Les autres appareils Nexus n’ont pas encore été mis à jour, mais Google a indiqué à Forbes que les correctifs commenceraient à être déployés à partir de la semaine prochaine « dans le cadre d'une mise à jour de sécurité régulière ». On se demande par contre bien pourquoi le patch n'a pas été envoyé bien plus tôt, cette faille étant corrigée depuis plusieurs semaines.
Certains utilisateurs sont déjà protégés contre la faille de sécurité, en particulier ceux qui ont fait l’acquisition d’un Blackphone de SilentCircle, via la mise à jour 1.1.7 du système d’exploitation PrivatOS. Si le navigateur Firefox est également touché, la version 38 contient le correctif (la version actuelle étant la 39).
Les utilisateurs de CyanogenMod 11 recevront une mise à jour ce week-end, mais les moutures 12 et 12.1 ne sont actuellement corrigées que dans les « nightlies ». Rien n'a par ailleurs été dit concernant CyanogenMod 10 et les versions antérieures. Pour les autres - et donc tous les dérivés d'Android - l’attente va être de rigueur et Zimperium encourage tous les acteurs fournissant des dérivés d’Android à prendre contact pour obtenir au plus vite des correctifs à implémenter.
... les correctifs n'arriveront que plus tard (ou pas du tout)
Pour les autres constructeurs justement, il n'y aura pas de salut tant que les correctifs ne seront pas prêts et surtout déployés sur l'ensemble des terminaux, et c'est bien là le problème.
Google a indiqué dans un communiqué que les partenaires avaient été avertis et que des mises à jour seraient fournies « dans les prochaines semaines ou les prochains mois » sans plus de précisions. Et pour le moment, rares sont ceux qui ont communiqué sur la question, HTC ayant été le seul à confirmer à Forbes que les correctifs étaient bien en cours de préparation.
Mais pour quels smartphones exactement ? Zimperium doute que les modèles âgés de plus de 18 mois seront mis à jour, et le niveau de fragmentation d'Android va dans le même sens. Une situation ubuesque puisque face à un souci de sécurité aussi important, les constructeurs ne comptent corriger le problème que par l'intermédiaire de nouveaux firmwares, et donc pour les appareils les plus récents. Si tel était le cas, on peut penser que les choses n'en resteront pas là, et que certaines associations de consommateurs pourraient prendre le relais.
Que faire en attendant ?
Car les solutions ne sont pas nombreuses pour ceux qui veulent se protéger d'ici une éventuelle mise à jour. Les utilisateurs peuvent désactiver dans les applications concernées le chargement automatique des photos et des vidéos, tout en s’assurant auprès de l’expéditeur qu’il s’agit d’un contenu légitime. Malheureusement, cela ne préviendra pas les autres scénarios d’attaque, particulièrement le fait de visiter une page web conçue pour exploiter la vulnérabilité.
Des détails supplémentaires sur la faille (qui n'ont été partagés qu'avec Google en privé) seront dévoilés le 5 août lors de la conférence Black Hat, puis le 7 août à la DEF CON. Zimperium vient également de prévenir qu'une vidéo de démonstration serait publiée plus tard dans la semaine, et même qu'un code d'exploitation serait fourni à la Black Hat, en même temps qu'un patch en open source. Ce qui ne pourra qu'augmenter le sentiment d'urgence chez les utilisateurs et mettra un peu plus la pression sur les constructeurs.
Commentaires (147)
#1
Et voilà, encore une fois, le gros drame d’Android c’est que les failles sont rapidement corrigées, mais elles mettent du temps à être déployées vers les utilisateurs… voire elles n’arrivent pas du tout
" />
#2
+1…
#3
Je ne serais jamais mis à jour, sur et certain.
#4
Dans l’article on ne parle pas d’Hangout qui serait le principal vecteur de la faille, qui a tort ou raison la dessus ?
#5
le problème serait le plus sérieux jamais découvert puisqu’il toucherait pas moins de 95 % des utilisateurs de la plateforme mobile. Zimperium, en se basant sur un chiffre d’un milliard d’appareils en circulation, estime donc que 950 millions d’entre eux sont vulnérables
La grosse vanne.
Déjà il faut que se soit Hangout qui gère les SMS/MMS et ce n’est pas l’application par défaut pour ceux-ci.
Il faut installer et lancer Hangout soit-même, quand ce dernier nous demande si on veut qu’il gère les SMS/MMS on à le choix de dire oui ou non et de garder l’application par défaut des SMS/MMS.
Ensuite je ne vois pas le rapport avec le patch d’une ROM puisque c’est simplement l’application qui gère les SMS/MMS qui est en cause.
#6
Les utilisateurs de CyanogenMod 11 recevront une mise à jour ce week-end
Je ne pensais pas être concerné, cool qu’il y ait un suivi de sécurité.
#7
C’est tout de même fou qu’aucune action ne soit nécessaire pour exécuter le code.
" />
Surtout quand on lit que l’exploitation de la faille peut s’être faite sans que l’on ne remarque quoique ce soit.
Et le problème risque de persister vu la politique de MàJ des constructeurs.
Cependant, la faille à l’air de se restreindre au stockage externe et aux photos, un moindre mal si on ne stocke pas de données sensible sur son tél ni de photo de soitounu! Bref une affaire à suivre de près.
#8
D’où l’intérêt d’un Xiaomi, et du suivi des maj quasi hebdomadaires…
#9
Hangouts aggrave le problème puisque la vidéo est automatiquement traitée, contrairement aux autres applications de messagerie qui traitent la vidéo uniquement lorsque l’utilisateur ouvre le MMS. Il est d’ailleurs possible que d’autres applis de messagerie “lisent” la vidéo avant que l’utilisateur n’ouvre le MMS. Le principal problème venant bien de la bibliothèque Stagefright qui comporte la faille.
#10
#11
Tu es sûr de ça ? Il n’est mentionné nul part que seul hangout utilise cette bibliothèque. Il est juste dit que certains types de contenus sont gérés par cette bibliothèque, donc peut importe le support sur lequel on le regarde (type de navigateur ou type de messagerie) c’est le média en lui même le problème. Ou alors la news est incomplète. Ou alors j’ai raté un passage.
#12
#13
J’allais le dire: merci pour le résumé!
" />
#14
Je viens de recevoir un push d’une MAJ logicielle sur mon galaxy, mais certainement pas de rapport (ça arrive de temps en temps, à chaque fois dans les 500Mo, et sans upgrade de l’OS)
#15
Ouais et la seule solution pour l’instant est :
" />
Remediation:
Zimperium’s advanced Enterprise Mobile Threat Protection solution, zIPS, protects its enterprise customers from Stagefright vulnerability.
Ça tombe bien hein
#16
De mon point de vue c’est une “excellente nouvelle”.
On va enfin voir comment l’écosystème Android va réagir à une vraie faille grave et exploitable simplement …
Est ce que les OEM pourront se contenter de dire “oh apres 18 mois on s’en fout”
Est ce que les opérateurs vont réagir en forcant les OEM à publier au plus vite une update ?
Est ce que les opérateurs pourraient “pousser une sorte d’antimalware” dans les flux MMS ?
On va enfin pouvoir voir si Google dans ce genre de sénario potentiellement déstructeur “tient” l’écosystème Android …
De mon point de vue, ça peut être l’équivalent de “Blaster” chez Microsoft (un impact utilisateur réel et grave, qui a poussé Ms à mettre en place plus de sécurité dans son OS).
#17
#18
Si on désactive la récupération automatique des MMS ça change quelque chose ?
#19
#20
#21
Je pense que pour qu’une réaction apparaisse, il faudrait que la faille soit exploitée et que les utilisateurs montrent leur mécontentement.
Mais je suis d’accord sur le fait que ça serait bien que les choses bougent.
#22
Pour ce genre de problème, c’est pas jouable que Google pousse les MAJ directement plutôt que de passer par les OEM?
#23
Ca ne te fera rien, tant que le vecteur utilisé est le MMS (qui est pour le coup, le plus simple et le plus répendu).
La librairie est utilisée dans différentes parties de l’OS, donc ça veux dire que le vecteur peut être une app, une pub, une personne qui te contacte par Hangout en direct, ou par Telegram …
D’ailleurs je me demande si le fait que Google n’ait pas encore trop “publié le patch”, ne pourrait pas être pour éviter de trop attirer l’attention sur la faille, le temps que les OEM publient des patch …
Tout comme avec Blaster, c’est la diffusion du patch qui avait permis aux hacker d’identifier la source de la faille de sécurité.
#24
Ca sent le futur gros spam via MMS avec gros générateur de numéro de téléphone ça
" />
#25
#26
Si les OEM ne réagissent pas, la faille sera exploitée, c’est une certitude … je prend un exemple : les personnes qui ont un téléphone Android mais sans data (j’ai une tante qui est dans cette configuration).
Elle n’aura pas le correctif (vu qu’elle ne se connecte jamais au web), mais sera une cible parfaite pour la faille de sécu.
Et il suffit de faire quelques appels vers un numéro surtaxé et il y a du gros pognon à se faire …
Et dans ce cas, qui est résponsable ? Ma tante de ne pas avoir mis de mise à jour (si elle existe ?), l’OEM de ne pas avoir mis à dispo le correctif, ou l’opérateur qui n’a pas “sécurisé son reseau” ?
#27
Les utilisateurs peuvent désactiver dans les applications concernées le
chargement automatique des photos et des vidéos, tout en s’assurant
auprès de l’expéditeur qu’il s’agit d’un contenu légitime.
Quelqu’un pourrait expliquer comment faire cela?
Ce serait utile de rajouter cette info dans la news.
Bon par contre, ça confirme qu’android est une grosse faille à lui tout seul.
Mon prochain tel sera donc soit un BB soit un firefoxOS soit un autre système un peu plus sécurisé. Pas le choix au final.
#28
#29
Tout OS a des failles … aucun OS n’est épargné …
" />
Le bug de SMS de Windows Phone (crash à la récéption de SMS), et celui de IOS (SMS avec carractére spécial => crash en boucle), sont juste l’étape 1 avant d’identifier une faille de sécu dans l’OS.
Si tu ne veux pas un OS avec une faille de sécurité, ne prend pas de téléphone
#30
En espérant que BB ne fasse pas que du Android mais continue à faire du BB OS 
" />
#31
#32
Sachant que sans forfait Data, le MMS ne peux pas être récupéré, aucun soucis de ce côté.
Je prend aussi en estime qu’elle ne téléchargera pas d’application “bizarre”.
#33
Et quand ton FirefoxOS sera l’OS mobile le plus répandu ça sera lui le moins sécurisé.
Non parce qu’aucun n’est plus sécurisé qu’un autre, c’est juste qu’on cible le plus gros marché hein.
#34
#35
C’est la fameuse “Tata Jeanine”? 
" />
#36
Le souci est comment savoir si son téléphone Android a été patché avec le correctif.
Mon Galaxy S4 a reçu récemment une mise à jour Lollipop mais le correctif y est-il présent ? Peut-on voir dans une release note quelconque si le correctif est présent ?
#37
Et si on poussait le patch par MMS en utilisant la vulnérabilité, justement ?
Soigner le mal par le mal, c’est-y pas joli ?
#38
Atta, je t’envoie un message, rien ne vaut la vérification par le test
" />
#39
Ça serait de toute beauté 
" />
#40
#41
#42
D’autant qu’il existe encore de forfait sms/mms et sans data.
C’est surtout que les gens sans data ont des téléphones qui supportent pas les MMS.
#43
Ce serait tellement beau ! Mais il faudrait un moyen d’élever les privilèges depuis la faille. Il en faut une autre !
#44
Ptain une faille pareille : on dirait Windows des années 90
" />, en plus c’est une attaque de destruction ultra massive ( pas moins de 95 % des utilisateurs )
" />
Bon espérons qu’un correctif sera rapidement déployé…Attend….Bah mince j’ai oublié qu’on parle d’Android là
#45
L’article indique que si on a Firefox > 38, on est protégé… Cela veut-il dire qu’installer FF upgrade la lib en question ? Ca, tout le monde peut le faire !
#46
#47
C’est sur que les téléphones blackberry sous Blackberry OS 7 qui n’ont jamais été mis à jour à BB10 sont la preuve que BB est irréprochable sur les MAJ 
" />
Par exemple : http://www.gsmarena.com/blackberry_9720-5625.php (sorti en Aout 2013)
#48
Il y a faille et faille hein..
N’essaies pas de les mettre toutes au même niveau.. De ce que je viens de lire, là c’est nettement plus grave.
D’autant plus que sur les autres plateformes, les correctifs sont rapidement déployés ( Enfin je ne sais pas trop pour windows phone/8)
#49
#50
En effet, il y a faille et faille, et le fait que Android est Open Source facilite franchement le travail de la personne qui veux transformer un “crash quand j’envoi une image mal formée” en “super faille de sécurité”.
Aussi encore une fois, tout OS a des failles, et prétendre le contraire, c’est prêter le flan à beaucoup de railleries …
ps: attendons de voir comment les OEM géreront les correctifs avant de juger.
Et je serai pas contre un petit article avec la liste des mauvais eleves chez les OEM qui n’ont pas déployé le correctif à temps … et si même Google publiera le correctif sur les “anciens Nexus”.
#51
#52
#53
#54
#55
#56
En même temps si tu achètes Archos… Tu devais bien savoir à quoi t’attendre non ?
#57
Ne pas proposer de patch (pour les terminaux plus vieux que 18 mois) ne pourrait-il pas être assimilié à de l’obsolescence programmée ?
Eh bien non : “L’obsolescence programmée se définit par l’ensemble des techniques
par lesquelles un metteur sur le marché vise à réduire délibérément la
durée de vie d’un produit pour en augmenter le taux de remplacement.”
A moins qu’on arrive à démontrer que la faille de sécurité est délibérée, même avec cette super nouvelle loi, il n’y a aucune obligation de la corriger… Alors autant la laisser et conseiller aux consommateurs de s’acheter un nouveau smartphone…
C’est de l’obsolecense devenue programmée en cours de route, c’est très différent de l’obsolecense initialement programmée, si si !
#58
Reste à savoir si les utilisateurs seront massivement informés.
Si seulement 20% des utilisateurs sont informés (soit 190 millions, selon l’estimation donnée du nombre d’appareils), cela suffira déjà à bien faire entendre la grogne. Sinon, ça passera comme une lettre à la poste.
Si l’info reste chez NXI, sans être relayée dans les médias (TV + journaux), il se peut qu’il ne se passe quasiment rien…
#59
#60
#61
#62
#63
Pourquoi ne pas distribuer le hotfix en exploitant la faille ? Ca aurait du style et ça limiterait la casse vite et bien (950 millions de targets potentielles justifierait cette méthode).
#64
+10
#65
J’imagine les MMS de 50Mo 
" />
#66
#67
tu fais crasher la lib juste pour lancer le script qui récupères le patch et l’applique, un bon programmeur doit pouvoir faire tenir ça dans un SMS ;)
#68
Et si le MMS ouvre le lien pour télécharger la mise à jour? 
" />
#69
c’est pas plus bête que laisser pourrir des millions de devices vérolés qui vont rejoindre un botnet tôt ou tard
Edit: surtout si tu as 95% du parc vulnérable et qu’il faut 0 action pour prendre la main dessus. Il y a urgence.
#70
Je ne suis pas un expert dans le domaine, mais pour moi, le but d’une ROM est justement de rendre impossible la mise à jour d’une partie de code sans passer par la phase “flashage”.
Donc ça passerai de toute façon par la création d’un “patch” adapté à la plateforme, signé, validé & co.
Donc, de mon point de vue, n’apporterai sans doute pas grand chose.
#71
Hop :http://tempsreel.nouvelobs.com/tech/20150728.OBS3268/une-faille-menace-95-des-sm…
#72
Erf, avec mon Galaxy Note de première génération qui n’a pas été updaté depuis la 4.1.2 je n’ai donc plus qu’à essayer de désactiver la réception de MMS et dire à mes contacts que ça ne sert plus à rien de m’en envoyer … WTF ?!?
#73
Alors, sauf erreur de ma part, depuis Kitkat, il est possible de mettre à jour à la volée une lib système sans flasher l’intégralité du système. Pour les versions précédentes (et vulnérables) par contre …
#74
Non, tu désactive le téléchargement auto des MMS, pas que tu els bloques, tu pourras toujours les lire si tu le souhaite.
#75
Merci pour la réf.
Ce qui m’épate aussi, c’est la manière dont un fichier “neutre” peut embarquer du code, qu’il soit bienveillant ou malveillant.
Je m’explique : je prends le cas d’une image Bitmap car c’est simple à expliquer, mais bien sûr ça s’applique pour tout format d’image, de vidéo, etc.
Une image bitmap c’est une suite d’octets, groupés 3 par 3. Chaque groupe de 3 octets permettent de coder la couleur d’un pixel, et les groupes se suivent comme les pixels de la ligne 1 puis 2, etc. L’algorithme qui va interpréter le fichier va prendre ces groupes d’octets, les décoder, colorier un pixel puis passer au suivant.
Comment peut-on inclure du code là-dedans ?? Pourquoi les algorithmes de traitement d’images ont-ils toujours été sujets aux failles ??
#76
#77
Ca vous appendra à utiliser des logiciels dits libres dans le cas d’Android
" />
#78
parler d’android et de sécurité… moui moui
#79
Dans Hangouts, j’ai désactivé le rapatriement automatique des mms. Donc, normalement, je ne devrais pas avoir à m’en faire je pense.
#80
#81
Je ne comprends pas pourquoi Google ne puisse pas déployer directement les correctifs sur les appareils comme le fait MS sur windows , et ce quelque soit le fabricant de la machine.
Parce que bon, je veux bien croire en l’excuse d’Open source pour justifier tous les défauts , mais quand ça devient aussi problématique il faut quand même revoir un peu le modèle.
D’autant plus qu’Android vise aujourd’hui majoritairement le grand publique, pour qui le coté gratuit et Open Source de l’OS n’est pas transparent et ne veut absolument rien dire* et pour qui aussi l’exploitation de ce genre faille ne pardonne pas.
Bref un suivi et un entretien minimum me semble quand même nécessaire (que soit de la part de Google et/ou des OEM)
* Je veux dire par là Ils ne vont pas s’amuser à rooter leurs appareils et une marque comme samung par exemple ne va pas s’amuser à casser les prix des appareils juste parce que l’OS et gratuit et Open Source
#82
#83
L’Open Source n’a strictement rien avoir ici. C’est simplement que Google n’a pas la main sur les mises à jours des smartphones des constructeurs.
#84
CM 12.1 marche du feu de dieu sur un Note première génération :
http://forum.xda-developers.com/galaxy-note/development/rom-t2938649
#85
Bah l’argument que je lis souvent sur l’absence de mis à jours des constructeurs est justement le fait qu’Android soit open source. Par conséquent tout le monde et principalement les constructeurs ont le droit de le modifier, de ne pas déployer les mis à jours etc…
Peut être que ça n’a rien à voir , mais ça a quand même l’air d’être employé comme motif pour justifier tout et n’importe quoi.
#86
Cool, j’avais regardé à l’époque des CM11 et le Note ne faisait presque jamais partie des tél compatibles. Va falloir que je teste ça un de ces quatre du coup (de toute manière, au point où mon tél en est, au pire ça précipitera son renouvellement, au mieux ça me permettra d’attendre encore un peu 
" /> )
#87
est ce qu’avoir un téléphone en x86 change quelque chose? y’a t’il un patch via xposed?
#88
pour moi le plus gros défaut, c’est qu’il faut “donner la possibilité à Google de le faire”.
" />
" />
Donc, potentiellement permettre à Google d’avoir une clé de signature “maitre” qui fonctionne sur 100% des téléphones, et du coup, donner à Google la possibilité de modifier la ROM de tous les mobiles du marché.
J’imagine que certains trouveraient la perspéctive terrifiante
Sans compter le fait que les OEM seraient encore plus tenté de dire : ah non, on ne fait pas de mise à jour, vu que les MAJ de sécurité sont géré gracieusement par Google
Pour moi, la meilleure solution : identifier les constructeurs mauvais élèves, et ne plus jamais acheter du matos chez eux …
Il n’y a que comme ça qu’on poussera les constructeurs a faire leur taff.
#89
#90
#91
Il y a un constructeur qui ait été régulièrement bon élève sur ce sujet?
Tout ceux que j’ai un peu regardé m’ont bien déçu. C’est les iPhones et Lumias qui me paraissent les meilleurs en la matière, et de loin, ce qui est assez paradoxal par rapport à ce que devrait permettre l’open source.
#92
#93
Autre solution : que Google passe à iOS.
" />
Master troll
#94
#95
#96
Les Nexus sur Android sont “en général” de bons élèves sur Android .
Apres, en effet, iOS (si on retire l’ipad 1) et les Windows Phone (si on retire WinPho7) on un bon rapport de mise à jour.
Mais, ça ne sera malheureusement, jamais parfait.
Apres l’open source a bon dos, tant que ce sont les constructeurs / opérateurs qui ont le dernier mot, et qu’une grosse partie des drivers & co sont en “close source”, le problème restera entier …
Apres il y a toujours Cyano.
#97
Dieu merci, je n’utilise pas leurs produits
" />
#98
Le problème, c’est que Nexus ne fait plus que des tablettes qui téléphonent
" />, Cyano crée plus de problème qu’il n’en résout (dans mon expérience, c’est probablement lié au fait que j’ai un téléphone d’entrée de gamme qui n’intéresse pas grand monde), et qu’iOS nécessite de vendre un rein. J’attends de voir WP10.
Sinon ta réponse me donne l’impression que je n’ai pas été clair : ma critique ne porte pas sur l’open-source, mais sur la bien piètre utilisation de son potentiel par les fabricants.
#99
Si non en attendant mieux, l’appli de gestion de sms/mms sécurisé et chiffré, Textsecure propose une sécurité contre justement l’attaque invisible en veille présenté par cette faille.
Elle n’utilise pas Stagefright pour préchargé les mms, elle l’utilise uniquement pour les ouvrir. Du coup impossible d’être touché avec le téléphone sans une action de la part de l’utilisateur. Tant que l’on ne tape pas sur la preview pas de souci, si on ouvre que des photo dont le destinataire vient de nous dire qu’il nous l’envoie sa réduit pas mal les risques !
voici les commentaire du développeur :
https://github.com/WhisperSystems/TextSecure/issues/3817
We don’t do any pre-processing that involves stagefright. There are no
technical details at all available about this vulnerability (for maximum
hype), but you’d have to physically tap on the media and then click
through a warning about playing media insecurely before stagefright got
involved.
Puis tout à l’heure à 13H00, il à ajouté :
https://lists.riseup.net/www/arc/whispersystems/2015-07/msg00084.html
Hey Arun, unfortunately there are no details about the vulnerability
available. Maybe it’s really bad, maybe it’s all hype.
Supposedly the vulnerability is in stagefright, which is the Android
framework responsible for audio/video encoding/decoding and playback.
TextSecure doesn’t do any pre-processing of received audio/video
messages, so it seems unlikely that a vulnerability in stagefright could
be triggered simply by sending audio/video to a TextSecure user.
TextSecure plays audio/video by handing it to the system’s default media
player. If there’s a stagefright vulnerability, it’s possible that the
system’s default media player is vulnerable. From TextSecure, that
interaction should only happen by physically tapping on an audio/video
attachment, then tapping through a warning dialog about insecure
playback. At that point, it’s out of our hands.
#100
Pour info, les commits de jduck dans CyanogenMod concernant les failles de la lib stagefright :
https://github.com/CyanogenMod/android_frameworks_av/commits/cm-12.1?author=jduc…
#101
#102
#103
#104
On finit par regretter le bon vieux temps ou c’était “plus propre” et coder de façon plus “intelligente” (ressources limitées, temps calcul précieux…) 
" />
#105
Depuis plusieurs années je m’inquiète de cette bombe à retardement que constituent la pléthore d’appareils qui ne sont plus maintenus par leurs fabricants.
Tout appareil qui connecté sur l’internet et qui n’est plus mis à jour est un danger potentiel pour ses utilisateurs et pour le réseau tout entier.
C’est un problème évident de sécurité à l’échelle mondiale, ce qui implique que des mesures devraient être prises.
Ceux qui savent qu’un smartphone est (techniquement parlant) un ordinateur se demanderont pourquoi n’importe quel PC peut recevoir de nouveaux Os pendant des années… et pas les smartphones.
La première évidence qui saute aux yeux, c’est l’absence de couche bios/uefi standard qui permettrait de booter et d’installer un Os de façon standardisé. Cette absence constitue de manière évidente une régression majeure.
La seconde, c’est le support dans le temps très limité des composants par certains fabricants.
Ces problèmes doivent faire l’objet d’une régulation dans l’intérêt de tous.
Tout appareil grand public non muni d’un bios standardisé et de mécanismes permettant de changer d’Os doit être interdit à la vente.
Tout fabricant de composant doit être astreint à un suivi de compatibilité des drivers pendant au moins 10 ans.
#106
Ce serait marrant qu’un hacker utilise la faille pour créer un réseau de spam à destination des constructeurs : “vous n’avez pas mis vos équipements à jour”, “veuillez fournir des roms secure à vos clients”, etc.
" />
#107
#108
#109
#110
#111
#112
Mais ça se vend…
#113
#114
si j’ai bien compris : il y a juste une MAJ d’une librairie d’androïd à faire, mais s’pas possible.
Cadeau : les conseils de l’ANSSI :(
Fallait peut-être réfléchir avant…
#115
#116
#117
#118
les chinois aussi :-)
#119
Elle à été rapidement corrigée mais il y a quand même eu un problème de communication si j’en crois l’article. Ce n’est que maintenant qu’ils en parle et bien sûr aucun correctif n’a été déployée.
" /> mais c’est une occasion pour les constructeurs de montrer ce qu’ils comptent faire dans cette situation, avec leur politique de suivi des smartphones…
Pourquoi ne pas avoir jouer la carte franc jeu alors qu’ils s’amuse à donner des leçons la dessus, au hazard quand MS prend plus de 3mois pour lancer un correctif?
Bon enfin, on va pas en profiter pour relancer le débat Google VS MS
#120
- une équipe de hacker annonce qu’en Aout il y aura une full disclosure de la faille d’Android, Google publie l’anomalie en 48h sur son code source et pousse au cul les OEM pour avoir une publication de correctif pour la date de full disclosure, l’objectif étant de ne pas attirer l’attention sur cette faille non encore exploitée, pour éviter le reverse engineering du bug (chose qui était arrivée avec Blaster). Entre temps l’équipe de hacker balance le morceau et annoncent publiquement 15 jours avant le full disclosure la faille et la librairie qui a la faille : c’est la faute de Google
Je rêve ou il y a double standard ?
#121
#122
#123
N’empêche ça la fout mal pour Google.
Ils se gênent pas pour balancer les failles des autres sociétés (MS en tête) rapidement mais celle-ci traine depuis des mois et par la faute de leur méthode de mise à jour elle va trainer encore des années.
Si seulement ça pouvait faire réfléchir les acheteurs avant d’acheter de l’android
#124
Parce que sur Android c’est comme ça que ça marche :
- Google donne un OS open source
- les OEM prennent l’OS, le customisent à l’envie, ajoutent des drivers & autres saloperies
- les opérateurs ont leur mot à dire sur le couple OS/hardware (stabilité, comportement sur le réseau …) et peuvent même rajouter leur propre merde dans l’OS
Le concept de Android (et accessoirement ce qui fait que c’est un succès auprès de OEM et des opérateurs vu qu’ils ont liberté totale avec), c’est que c’est le constructeur qui gère sa ROM avec ses contraintes perso.
Google n’a pas le pouvoir de pousser des patchs (et ils essayent de limiter l’impact de cette contrainte, par exemple en poussant depuis quelques temps les patchs de la webview par le play store - vu que c’est une grosse source de faille de sécu)
#125
Encore une fois double standard.
Google est en faute d’avoir mis une deadline et demander à Ms de s’y tenir.
et quand c’est les chercheurs qui balancent la faille en avance, c’est toujours la faute de Google.
Google a corrigé la faille et le patch arrivera en temps et en heure.
Si tu veux faire ton boudin va pleurer auprès des OEM.
#126
Perso, j’attend de voir quels acteurs prendront leurs responsabilités.
" />
Est ce que Google publiera une mise à jour de Hangout pour “cacher la librairie fautive” (rejetant le bug sur les autres appli tierces qui n’ont pas fait le même correctif), est ce que les opérateurs vont faire un système de filtre sur les MMS entrant (cachant la faille sur les MMS, mais laissant la porte ouverte aux attaques sur les apps), ou les OEM vont prendre leurs responsabilités (ce que j’espère franchement).
Après j’ai un Nexus et un Sony récent, donc je ne m’en fait pas trop perso
#127
#128
Pour que Google puisse faire des mises à jour, il faudrait qu’ils aient la maitrise du matériel, ce qui n’est pas le cas, seul les OEMs l’ont. Donc c’est aux OEMs de faire le boulot de mise à jour.
" />
La seule solution pour que Google puisse faire les mises à jour de l’OS, aurait été d’imposer (ou de proposer) un standard à respecter par chaque OEMs acceptant des mises à jour de l’OS. Je ne suis pas sur que beaucoup d’OEMs auraient choisi cette voie.
#129
Est ce que Cyanogenmod est concerné ?
#130
Il y a forcement porosité entre données et exécutable. Après tout, un programme qu’on télécharge a été donnée, et sera exécuté plus tard. On peut imaginer que pour contourner une telle séparation, le débordement permette d’écrire dans la zone donnée d’un autre programme, dont le rôle est de charger du code et de l’exécuter, pour lui faire croire qu’il faut exécuter tel truc à la place du code légitime. Ce programme s’occuperait lui-même de passer le code malicieux de la zone donnée à la zone exécutable.
Bon après je n’ai pas la prétention de connaitre tous les mécanismes possibles (ni les protections matérielles et système à contourner), je voulais juste illustrer comment un simple traitement de données théoriquement neutres peut aller foutre le bazar ailleurs.
La réalité est évidemment plus complexe que mon exemple.
#131
c’est indiqué dans la news :
Les utilisateurs de CyanogenMod 11 recevront une mise à jour ce week-end, mais les moutures 12 et 12.1 ne sont actuellement corrigées que dans les « nightlies ». Rien n’a par ailleurs été dit concernant CyanogenMod 10 et les versions antérieures. Pour les autres - et donc tous les dérivés d’Android - l’attente va être de rigueur et Zimperium encourage tous les acteurs fournissant des dérivés d’Android à prendre contact pour obtenir au plus vite des correctifs à implémenter.
#132
Il a pas totalement tort :
Déjà du point de vue de l’image (“ça la fout mal”), dans la tête des gens, Android, c’est Google. Si Android marche pas, c’est la faute de Google, ils font pas nécessairement le lien avec les bricolages du constructeur. C’est peut-être pas juste, mais c’est l’image de Google qui prendra le plus si cette faille fait de gros dégats.
Ensuite, la stratégie de Google sur le sujet est très critiquable : c’est Google qui a choisi de diffuser Android avec ce modèle reposant sur les constructeurs, et qui continue bien que ce modèle ait prouvé maintes fois qu’il était incapable de propager les mises à jour.
Pour faire une comparaison trollesque, si pour avoir une mise à jour de sécurité Windows il fallait tout réinstaller à zéro, on critiquerait les admins qui laissent des portes ouvertes dans leurs systèmes, mais aussi MS qui s’acharne dans un modèle de MAJ totalement inefficace. Là c’est pareil, on critique les OEM qui ne prennent pas la peine de propager les MAJ, mais ça n’empêche pas de critiquer aussi la stratégie de Google qui s’avère totalement inefficace.
Bon point pour eux, ils essaient de corriger le tir, mais il reste encore pas mal de chemin à faire avant que je songe à racheter un téléphone Android.
#133
Sérieusement, on peut pas attendre la full disclosure pour voir quels OEM n’ont pas déployé le patch avant de hurler à la mort ? 
" />
" />
Si tous les OEM publient des correctifs pour 99% des devices, ca validera tout le modèle de fonctionnement de Google et on aura hurlé à la mort pour rien
C’est si difficile de dire “wait & see”, ce que ça veux dire chez Google “on travaille avec les OEM pour déployer le patch” ?
#134
Mon commentaire est général, concerne toutes les MAJ d’Android, et s’appuie sur l’expérience passée, mais ne fait pas spécifiquement référence à cette faille problème.
Après, mon pronostic est que cette MAJ ne fera pas exception, mais Wait and see, comme tu dis, je serais content de me tromper. Pour tous ceux qui comme moi ont un téléphone pas flambant neuf, mais surtout parce que ce serait un bon signal pour les futures mises à jour, même moins critiques.
#135
#136
Les autres MAJ ont un INpact en général largement plus important (ici on parle de changer une librairie), et le fait de ne pas les pousser a une incidence largement plus grave sur l’utilisateur.
" />
On verra donc … si à l’avenir je ne conseillerai plus jamais que de prendre des Nexus
#137
#138
Bref, on résume…
Les systèmes d’exploitation grand public sont l’exemple même de ce que la “pompe à pognon” peut faire: Il faut que ce soit le “moins cher” possible, et pour les fabricants de smartphone, si le système est gratuit, ils n’ouvriront jamais la boite de pandore qu’il y a derrière le mot “sécurité”. Et ils ont parfaitement raison, car les failles de sécurité existent aussi sur les logiciels “propriétaires”. En gros, ce n’est pas que les développeurs qui “sévissent” dans ce type de système d’exploitation codent avec leurs pieds (quoique c’est toujours possible, selon le “niveau” de développeur retenu par le donneur d’ordre…), mais plutôt que les dits développeurs ont à leur “disposition” des “assistants” redoutables: Les marketteux et les financiers, les uns et les autres exigeant un maximum de résultats en un minimum de temps! En gros, on veut de la quantité, et surtout pas de la qualité. Et même pour un système “collaboratif”, la pression des marketteux peut devenir catastrophique, empêchant de facto des procédures de recette, non pas exhaustives, mais poussées.
En passant, oser affirmer que Java est “memory-safe”, alors que justement, c’est la base java elle-même qui est truffée de trous de sécurité peut faire rire jaune, mais bon, la boite qui a levé le loup “doit” vendre sa solution miracle, alors tout est permis!
#139
Oups j’avais zappé ce paragraphe. Merci 
" />
#140
Qui a dit que la librairie en question était codée en Java ? 
" />
" />
Ce genre de librairie est forcément en C++ pour avoir les meilleures perfs possible … Android n’est pas un OS codé en Java tu sais ?
#141
oui j’avoue que ce sont deux point (et encore, pour les notifications, c’est mineur, mais le rétro-éclairage manque) qui sont perfectibles. dommage que le 3 ne soit prévu pour être x86 (enfin de ce que j’ai compris.)
#142
#143
Bah les notifications me manquent plus que le retro éclairage :p
L’autre truc énervant avec le cover : comme il n’y a pas de contrôle de proximité, il faut ouvrir pour pouvoir raccrocher ou voir les détails de l’appel une fois qu’on a décroché… mais bon ca c’est pas dramatique non plus.
#144
tu peux double taper sur l’écran sinon, même avec le cover.
#145
Ou cyanogen, en appliquant les nightlies :)
#146
Ouep mais curieusement ca n’a pas l’air fonctionnel pendant l’appel… je reessairai.
Par contre le double tap c’est juste magique ! J’adore cette fonctionnalité