La faille Stagefright a largement rouvert le débat sur la sécurité d’Android, aboutissant d’ailleurs à la mise en place par Google, Samsung et LG de correctifs mensuels de sécurité. Mais les patchs en cours de déploiement sont en fait incomplets et la faille reste complètement exploitable dès lors que certaines valeurs changent dans le code.
Stagefright est le nom d’une bibliothèque dans Android, utilisée pour la lecture de la plupart des formats multimédia. Elle est écrite en C++ et dispose de droits root. Les applications et services peuvent y faire appel pour la lecture des contenus et elle est donc particulièrement importante. Mais une faille trouvée en avril a jeté un voile sur Stagefright car les droits dont elle dispose peuvent avoir des conséquences particulièrement néfastes pour l’utilisateur.
Une réaction collective et pleine de bon sens...
La faille peut être utilisée de plusieurs manières, mais le scénario le plus emblématique était celui d’un MMS contenant un fichier son ou vidéo. Ledit fichier peut renfermer un code spécifique provoquant un dépassement de mémoire tampon et offrant alors des droits administrateur au reste des instructions. Comme indiqué déjà auparavant, les droits sont largement suffisants pour provoquer le téléchargement d’un malware qui pourra accomplir son méfait puis effacer ses traces. L’opération peut très bien être réalisée en pleine nuit, l’utilisateur n’ayant alors au réveil pas conscience que son smartphone a été piratée pendant son sommeil.
Google et Samsung avaient réagi les premiers pour annoncer la distribution de correctifs sur les Nexus 4 à 10 (ainsi que le Nexus) et sur les gammes Galaxy et Note. LG, HTC et Sony avaient suivi peu de temps après sur l’ensemble de leurs smartphones récents. Pratiquement en même temps, Google, Samsung et LG s’étaient d’ailleurs épanchés sur une bonne nouvelle : les mises à jour de sécurité seront distribuées sur un rythme mensuel, de la même manière finalement que Microsoft et ses Patch Tuesdays.
... mais qui n'a pas réglé le problème
Même si cette affaire relançait une fois de plus le débat sur la sécurité d’Android, en particulier sur les modèles plus anciens complètement délaissés par les constructeurs (alors que la faille est active dès la version 2.2), on la pensait clôturée. Ce n’est en fait pas le cas car les patchs distribués ne corrigent que partiellement la faille. Ce qui en langage technique signifie qu’elle n’est finalement pas corrigée du tout.
Initialement, la faille a été découverte par la société Zimperium, qui avait pris les devants et averti rapidement Google en avril. La firme de Mountain View avait publié un patch pour AOSP, basé sur les conseils de Zimperium. Mais qu’il s’agisse de Google, Samsung, HTC, Sony ou encore LG, aucun des correctifs ne couvre tous les cas de figure. Puisque les pirates observent toujours attentivement ce type de développement, ils savent déjà que changer la valeur de certains nombres entiers au sein du code inséré dans le contenu multimédia suffit à contourner le patch.
Cette deuxième découverte vient du chercheur en sécurité Jordan Gruskovnjak, travaillant chez Exodus. Le problème a été trouvé dans le patch fourni initialement par Joshua Drake de Zimperium à Google. Ce patch ne contenait en fait que quatre lignes de code et ne couvraient malheureusement pas tout le spectre de la menace. Dans un email envoyé à Threatpost, Joshua Drake a ainsi indiqué : « Selon des sources publiques, de nombreux soucis supplémentaires ont été découverts depuis que j’ai signalé les bugs dans le traitement du MPEG4. Je pense que nous continuerons à voir des correctifs pour le code de Stagefright dans les mois qui viennent. L’histoire est loin d’être terminée ».
Il n'était pas nécessaire de crier autant sur les toits
Aaron Portnoy, directeur d’Exodus, a indiqué que Google avait été averti de ces problèmes supplémentaires le 7 août, soit deux jours après la présentation de la faille par Joshua Drake à la conférence Black Hat. Dans un billet daté du 31 juillet sur le blog de l’entreprise, Jordan Gruskovnjak s’interrogeait en fait déjà sur l’efficacité réelle du patch proposé, mais n’était alors pas en mesure de prouver ses doutes car il n’avait pas accès au correctif pour son Nexus 5. Durant la semaine suivante, et une fois son smartphone à jour, il a pu créer un fichier MP4 en faisant varier légèrement le code, et a réussi à exploiter à nouveau la faille, avec les mêmes résultats.
Le chercheur reproche d’ailleurs à toutes les entreprises impliquées dans la construction des smartphones d’en avoir trop fait. Les annonces publiques sur la sécurité, l’union autour des patchs mensuels et les communiqués sur le déploiement prochain des correctifs n’ont pu qu’attirer les yeux des pirates qui n’étaient pas encore au courant. De fait, la situation est nécessairement examinée de près désormais par de nombreux acteurs dont il aurait mieux valu qu’ils ne sachent rien.
La remarque est certainement adressée en partie à Zimperium, qui avait évidemment profité de sa découverte pour faire valoir son nom. Ce n’est évidemment pas tous les jours qu’une société peut se targuer d’avoir mis le doigt sur un souci aussi dangereux. Chez Exodus, Aaron Portnoy fait quand même remarquer que le patch initial ne fait pas la différence entre les entiers 32 bits et 64 bits, suggérant que le travail n’a finalement été fait qu’à moitié.
La problématique sur la sécurité d'Android reste entière
Que retenir de cette histoire à rebondissements ? Que les mises à jour actuellement en cours de distribution ne corrigent qu’une partie de Stagefright et que les utilisateurs restent finalement aussi vulnérables qu’au début. Il va donc falloir attendre que d’autres correctifs arrivent, en espérant qu’ils fassent cette fois le tour de la question. Le chercheur Joshua Drake a pourtant bien une idée de ce qu’il suffirait de faire : couper complètement les ponts entre la bibliothèque Stagefright et Internet, Google ayant estimé jusqu'à présent que c'était une bonne idée.
Par ailleurs, ces futurs téléchargements ne résoudront pas le problème de la fragmentation d’Android, jouant ici un rôle particulièrement sérieux. Pas question ici de faire valoir que les services Google, permettant à la plupart des applications de fonctionner, sont mis à jour et disponibles presque partout. C’est bien la version d’Android qui compte, et si la faille peut être exploitée dès la mouture 2.2, les mécanismes qui en ralentissent l’exploitation, tels que l’ASLR (Address Space Layout Randomization), ne sont réellement disponibles que dans la branche 5.X. Et près de 82 % des appareils Android n’en disposent pas.
