La faille Stagefright a largement rouvert le débat sur la sécurité d’Android, aboutissant d’ailleurs à la mise en place par Google, Samsung et LG de correctifs mensuels de sécurité. Mais les patchs en cours de déploiement sont en fait incomplets et la faille reste complètement exploitable dès lors que certaines valeurs changent dans le code.
Stagefright est le nom d’une bibliothèque dans Android, utilisée pour la lecture de la plupart des formats multimédia. Elle est écrite en C++ et dispose de droits root. Les applications et services peuvent y faire appel pour la lecture des contenus et elle est donc particulièrement importante. Mais une faille trouvée en avril a jeté un voile sur Stagefright car les droits dont elle dispose peuvent avoir des conséquences particulièrement néfastes pour l’utilisateur.
Une réaction collective et pleine de bon sens...
La faille peut être utilisée de plusieurs manières, mais le scénario le plus emblématique était celui d’un MMS contenant un fichier son ou vidéo. Ledit fichier peut renfermer un code spécifique provoquant un dépassement de mémoire tampon et offrant alors des droits administrateur au reste des instructions. Comme indiqué déjà auparavant, les droits sont largement suffisants pour provoquer le téléchargement d’un malware qui pourra accomplir son méfait puis effacer ses traces. L’opération peut très bien être réalisée en pleine nuit, l’utilisateur n’ayant alors au réveil pas conscience que son smartphone a été piratée pendant son sommeil.
Google et Samsung avaient réagi les premiers pour annoncer la distribution de correctifs sur les Nexus 4 à 10 (ainsi que le Nexus) et sur les gammes Galaxy et Note. LG, HTC et Sony avaient suivi peu de temps après sur l’ensemble de leurs smartphones récents. Pratiquement en même temps, Google, Samsung et LG s’étaient d’ailleurs épanchés sur une bonne nouvelle : les mises à jour de sécurité seront distribuées sur un rythme mensuel, de la même manière finalement que Microsoft et ses Patch Tuesdays.
... mais qui n'a pas réglé le problème
Même si cette affaire relançait une fois de plus le débat sur la sécurité d’Android, en particulier sur les modèles plus anciens complètement délaissés par les constructeurs (alors que la faille est active dès la version 2.2), on la pensait clôturée. Ce n’est en fait pas le cas car les patchs distribués ne corrigent que partiellement la faille. Ce qui en langage technique signifie qu’elle n’est finalement pas corrigée du tout.
Initialement, la faille a été découverte par la société Zimperium, qui avait pris les devants et averti rapidement Google en avril. La firme de Mountain View avait publié un patch pour AOSP, basé sur les conseils de Zimperium. Mais qu’il s’agisse de Google, Samsung, HTC, Sony ou encore LG, aucun des correctifs ne couvre tous les cas de figure. Puisque les pirates observent toujours attentivement ce type de développement, ils savent déjà que changer la valeur de certains nombres entiers au sein du code inséré dans le contenu multimédia suffit à contourner le patch.
Cette deuxième découverte vient du chercheur en sécurité Jordan Gruskovnjak, travaillant chez Exodus. Le problème a été trouvé dans le patch fourni initialement par Joshua Drake de Zimperium à Google. Ce patch ne contenait en fait que quatre lignes de code et ne couvraient malheureusement pas tout le spectre de la menace. Dans un email envoyé à Threatpost, Joshua Drake a ainsi indiqué : « Selon des sources publiques, de nombreux soucis supplémentaires ont été découverts depuis que j’ai signalé les bugs dans le traitement du MPEG4. Je pense que nous continuerons à voir des correctifs pour le code de Stagefright dans les mois qui viennent. L’histoire est loin d’être terminée ».
Il n'était pas nécessaire de crier autant sur les toits
Aaron Portnoy, directeur d’Exodus, a indiqué que Google avait été averti de ces problèmes supplémentaires le 7 août, soit deux jours après la présentation de la faille par Joshua Drake à la conférence Black Hat. Dans un billet daté du 31 juillet sur le blog de l’entreprise, Jordan Gruskovnjak s’interrogeait en fait déjà sur l’efficacité réelle du patch proposé, mais n’était alors pas en mesure de prouver ses doutes car il n’avait pas accès au correctif pour son Nexus 5. Durant la semaine suivante, et une fois son smartphone à jour, il a pu créer un fichier MP4 en faisant varier légèrement le code, et a réussi à exploiter à nouveau la faille, avec les mêmes résultats.
Le chercheur reproche d’ailleurs à toutes les entreprises impliquées dans la construction des smartphones d’en avoir trop fait. Les annonces publiques sur la sécurité, l’union autour des patchs mensuels et les communiqués sur le déploiement prochain des correctifs n’ont pu qu’attirer les yeux des pirates qui n’étaient pas encore au courant. De fait, la situation est nécessairement examinée de près désormais par de nombreux acteurs dont il aurait mieux valu qu’ils ne sachent rien.
La remarque est certainement adressée en partie à Zimperium, qui avait évidemment profité de sa découverte pour faire valoir son nom. Ce n’est évidemment pas tous les jours qu’une société peut se targuer d’avoir mis le doigt sur un souci aussi dangereux. Chez Exodus, Aaron Portnoy fait quand même remarquer que le patch initial ne fait pas la différence entre les entiers 32 bits et 64 bits, suggérant que le travail n’a finalement été fait qu’à moitié.
La problématique sur la sécurité d'Android reste entière
Que retenir de cette histoire à rebondissements ? Que les mises à jour actuellement en cours de distribution ne corrigent qu’une partie de Stagefright et que les utilisateurs restent finalement aussi vulnérables qu’au début. Il va donc falloir attendre que d’autres correctifs arrivent, en espérant qu’ils fassent cette fois le tour de la question. Le chercheur Joshua Drake a pourtant bien une idée de ce qu’il suffirait de faire : couper complètement les ponts entre la bibliothèque Stagefright et Internet, Google ayant estimé jusqu'à présent que c'était une bonne idée.
Par ailleurs, ces futurs téléchargements ne résoudront pas le problème de la fragmentation d’Android, jouant ici un rôle particulièrement sérieux. Pas question ici de faire valoir que les services Google, permettant à la plupart des applications de fonctionner, sont mis à jour et disponibles presque partout. C’est bien la version d’Android qui compte, et si la faille peut être exploitée dès la mouture 2.2, les mécanismes qui en ralentissent l’exploitation, tels que l’ASLR (Address Space Layout Randomization), ne sont réellement disponibles que dans la branche 5.X. Et près de 82 % des appareils Android n’en disposent pas.
Commentaires (57)
#1
Je n’ai jamais compris pourquoi Google ne livre pas certaines rustines directement via le Service Play.
Il est mis à jour silencieusement et je suis presque certain qu’il peut aller patcher pas mal de pan de code dépendant de l’AOSP et non des constructeurs.
#2
a noter que pendant la conférence au BlackHat de Google sur l”état de la sécurité d’Android”, Google a annoncé qu’ils allaient pousser une update pour ne plus “automatiquement” afficher les images des SMS :
 https://docs.google.com/presentation/d/1i2UkeqkQq6pvaRK1Je7RzlJMWqUpJCFucRIEJHcj…
Ce qui sans corriger l’anomalie, rajoute au moins un petit niveau de sécurité.
Maintenant il faut juste regarder l’étendue de l’attaque … et la réaction des Constructeurs / opérateurs …
#3
Il n’est pas si simple de corriger le code dans une ROM par un programme … j’ai envie de dire, encore heureux, sinon ça veux dire que un programme qui récupère les droits root a un chemin pour s’insérer dans la Rom 
" />
Mais ils l’ont fait avec les WebView => la rom appelle une librairie qui est mise à jour par le play store. Il se pourrait qu’ils étendent cette fonctionnalité …
#4
@ atomusk : heureusement qu’on est pas Vendredi
" />
#5
m’en fout je suis sur le pont 
" />
#6
c’est vérolé le samedi?
" />
#7
#8
Vive les bons vieux 3310 !
" />
" />
Le serpent !
#9
(…)aboutissant d’ailleurs à la mise en place par Google, Samsung et LG de correctifs mensuels de sécurité(…)
Heu… Ah ! Je n’ai pas vu cette màj sur mon G4…
#10
Parce qu il ny aura jamais de mises a jour… Idem sur mon G2.
Du blabla de commercial. Tant que google ne prendra pas la peine d obliger les mises a jour on est foutus.
A prendre exemple sur apple ou microsoft.
#11
Sauf que Google n’a absolument rien à dire, beaucoup leur font porter le chapeau de la situation, mais c’est là qu’on peut différencier les entreprises qui prennent leurs clients pour des pigeons, de celles qui ne le font pas.
Le système de base est libre, lesdites entreprises n’ont qu’à se servir pour récupérer le code nécessaire aux mises à jour des appareils, et si elles ne le font pas, c’est de leur responsabilité, pas celle de Google !
Tout ce qui est intégré par Samsung, LG, HTC, Sony, etc… C’est basé sur Android oui, mais ce n’est pas de l’Android pur et dur, chacun y vont de leurs correctifs, leurs personnalisations, leurs modifications de kernel, etc… S’ils proposaient de l’Android pur et dur, sans bidouilles ni surchouche, ça serait déjà un grand pas, facilitant grandement les mises à jour.
C’est donc auxdites entreprises de prendre exemple sur Apple et Microsoft, pas à Google, le système étant par définition libre, ils n’y a rien à imposer, la loi du marché est censée faire le reste, si les clients ne sont pas contents, ils n’ont qu’à pas acheter… Si ça devait arriver, les entreprises auraient vite fait de réagir !
#12
Apple dans ce cas là ! Pour le moment Microsoft n’a pas encore prouvé qu’il poussait seul les mises à jour puisque W10 mobile n’est pas encore sorti.
#13
#14
#15
Aucune MAJ depuis bien longtemps sur mon Note 3…
#16
Pourtant, il y en bien une…
" />
#17
#18
#19
Le seul moyen de pression dont dispose Google (et c’est volontaire), c’est d’accorder ou non l’accès aux applications Google qui elles sont soumises à une autorisation. Ils en ont fait usage lorsque Cyanogen Mod voulait tromper les autorisations du Play Store.
#20
#21
ce que je comprend c’est que le libre doit prendre exemple sur le propriétaire
" />
" />
héhé
#22
#23
Mouais….. Ce n’est pas le style de MAJ que j’envisageais…
Edit : Une autre possibilité est Cyanogenmod. Faut que je cherche si le Note 3 est supporté.
#24
#25
Ca fait trois jours que j’essaie d’installer la MAJ sur ma Nexus 9 et à chaque fois, ça se termine par une belle erreur pendant l’install. Sur Nexus 4, no problem.
Des correctifs réguliers pourraient être sympa…
#26
#27
#28
Que retenir de cette histoire à rebondissements ?
Que les “experts en sécurité” à la recherche de leur quart d’heure de gloire font le bonheur des pirates qui cherchent des vecteurs pour diffuer leur ransonware/malware ?
Non, je m’égare. Un mec prêt à sacrifier un peu la liberté d’expression d’un expert pour gagner un peu de sécurité sur son smartphone ne mérite sans doute ni l’une ni l’autre.
#29
“Sorry, this page doesn’t exist!”
" />
" />
En tout cas je savais pas qu’il existait un exploit SMS je veux bien te croire, tout est possible
#30
#31
Quand je dis que ce formulaire de rédaction fait des trucs bizarres
" />
http://www.theregister.co.uk/2001/12/06/sms_phone_crash_exploit
Il me fout des caractères juste après “exploit” ; faut les enlever à la mano…
#32
#33
Que retenir de cette histoire à rebondissements ?
Quel le modèle d’Android n’est pas viable ?
#34
Non, c’est bien correct. Si, dans le fichier vidéo, l’entier pour la taille des données à lire à une certaine valeur spécifique, les vérifications sur cette valeur entre dans un cas non prévu, exploitable par des pirates
Edit: Non effectivement, il doit manquer des mots dans l’article, mal lu xD
#35
#36
Que retenir de cette histoire à rebondissements ?
Que les fabricants de téléphone portable n’auraient jamais du s’improviser éditeurs de système d’exploitation.
C’est un métier à part entière, et ils sont totalement incompétents sur le sujet.
Tant que l’OS ne sera pas totalement dissocié du matériel avec son éditeur qui a la pleine maîtrise dessus, les smartphones resteront de véritables nids à failles et problèmes de sécurité.
Mais bon, les constructeurs corrigent les failles à leur façon : un patch à 400 boules pour le modèle n+1…
#37
#38
#39
android est sous licence Apache , donc oui, c’est gratuit, et possible de distribuer comme tu veux
Par contre, ce que google fournit au dessus d’android, pour s’interfacer avec son cloud est une licence fermé (hangout, google map, google calendar, photo etc)
C’est l’utilisation de ces services par dessus d’android que google soumet à contrat avec les OEM. Tu peux dire que ce contrat est laxiste sur les contreparties des OEM, et que Google devrait être comme microsoft pour forcer les OEM à mettre à jour ( mais on ne peut pas dire que les OEM WP8 aient vraimentjoué le jeu)
#40
#41
Sauf que je répondais à quelqu’un et pas à l’article
" />
et toi tu devrais aller t’acheter quelques grammes d’humour, tu verras ça ira mieux après
#42
#43
En relisant la news je m’aperçois que HTC devrai avoir déployé un correctif mais je n’ai rien sur mon M8.
#44
#45
#46
Non, Google donne une date de full disclosure au bout de 3 mois et s’y tient, ici il y avait un “full disclosure” à la Black Hat, et elle a été cassée quelques semaines avant.
" />
" />
Mais du coup, Google pointe du doigt les OEM qui font le boulo et de l’autre coté pointent du doigt ceux qui ne l’ont pas fait.
Je veux bien que “Android” a des souci avec la sécurité, mais foutre tout sur le dos de Google c’est quand même gros
C’est comme si tu Sony ne corrigeait pas une faille de sécurité dans le noyaux Linux et qu’on foutait ça sur le dos de “Linux”.
Que Google devrait faire quelque chose, c’est une chose, mais les OEM ont quand même leur part de responsabilité non ?
Apres je veux bien que ça soit plus facile de mettre ça sur le dos du grand méchant Google
#47
T’as du recevoir Lollipop récemment
#48
#49
*
BREAK
>> en attendant les correctifs, lancez votre application de messagerie SMS, allez dans la section des messages MMS, et décochez l’option “récupération automatique”.
Le but du jeu étant bien sur de virer les MMS reçus de personnes inconnues sans les ouvrir.
J’ai reçu le conseil via avast mobile security.
FIN DU BREAK …. vous pouvez reprendre vos discussions poilues intéressantes.
#50
A noter que comme j’ai dit plus haut, cette modification sera poussée automatiquement sur une update de Hangout.
#51
Je t’invite à lire mon commentaire #37 qui va justement dans ce sens.
#52
Alors je vais y répondre 
" /> (je l’avais vu et comptais y répondre, mais j’ai oublié).
" />
Sur le principe, je suis à 100% d’accord avec toi, maintenant le truc c’est que c’était le “concept” d’Android, leur donner une base “solide”, et si ils le désirent créer de “l’innovation” avec.
J’en ai déjà parlé plus haut, mais la gestion du stylet sur le Galaxy Note est brillante ! et elle a créée la “mode” de la phablet, que même Apple a du suivre tellement l’attente des utilisateurs était grande.
Bon, après on est d’accord que c’est la seule “success story” dont Android peut prétendre être la source
- le Samsung Edge … je sais pas si c’est un bide, mais je trouve le concept con
là sur le coup, c’est tout ce que je vois …
En gros ce que je veux dire, c’est que ce “modèle” permet de la créativité chez les OEM, avec des concepts qui percent ou pas, mais au moins il y a plus de diversité que 3 modèles de taille d’iPhone, ou qu’une pluie de modèles avec différents capteur photo/taille d’écran/résolution sur Windows Phone
#53
ps : Marshmallow it is !! https://www.youtube.com/watch?v=eVKuAmEVrhc
#54
Là dessus je suis d’accord, les fabricants ont fait un très bon travail de personnalisation et le support a permis pas mal d’innovations.
Mais pas de suivi derrière, ça craint… A cause de ça on se retrouve avec des passoires et un panel de versions différentes qui créent plus du bordel qu’autre chose.
Les fabricants se sont improvisés éditeurs d’OS et ça se voit que c’est pas leur métier… Ils sont dans leur logique industrielle de base : amélioration = modèle n+1
C’est tout l’archi du système qui est à revoir si on veut avoir un OS capable d’être mis à jour par l’éditeur sans avoir besoin d’attendre que l’intégrateur bouge son cul ou ne propose le patch que sous forme du modèle n+1.
Franchement, comment auriez-vous imaginé l’informatique d’aujourd’hui si il y a quinze ans, il fallait attendre que ce soit le constructeur du PC et le FAI qui autorise la diffusion des mises à jour de Windows ? Tout le monde a chialé à l’époque de Vista parce qu’il y avait un prérequis de base beaucoup plus élevé que XP “gnagna faut racheter un PC blabla”, et aujourd’hui ça ouvre le portefeuille et l’anus en choeur pour acheter un smartphone à 600 boules tous les 6 mois.
Le smartphone est un support qui a de très nombreuses capacités comme tu le dis toi-même, mais ses promoteurs n’ont pas d’autre ambition que d’en faire un jouet de luxe jetable. Et ça, c’est nul.
#55
sur ce point, on est d’accord, Google “doit” trouver une solution pour faciliter la publication, à minima, de patch de sécurité, mais idéalement, des updates complètes …
" />
Avec un peu de chance le fiasco de StageFright mettra ce point en haut de la liste des choses à faire pour les futures versions
#56
J’ai un tel “nu”. La MAJ 5.0 elle commence à dater.