Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Android : une version « 2.0 » de la faille Stagefright, exploitable depuis un navigateur

Alors que revoilà la sous préfète
Mobilité 3 min
Android : une version « 2.0 » de la faille Stagefright, exploitable depuis un navigateur
Crédits : billyfoto/iStock

Il semble que Google ne puisse décidément pas se débarrasser de la faille Stagefright. La découverte initiale remonte à presque trois mois, et plusieurs variantes de la brèche ont été détectées, obligeant plusieurs constructeurs à déployer des séries de correctifs. L’histoire recommence avec Stagefright 2.0, exploitable cette fois depuis un navigateur.

Le nom « Stagefright » provient de celui d'une bibliothèque système d’Android, libstragefright. Écrite en C++, elle est chargée de la lecture d’un grand nombre de formats multimédia, audio comme vidéo. La faille permettait en fait d’exécuter des instructions contenues dans un fichier, dès qu’elles étaient lues par la bibliothèque. Intégrée profondément dans Android, elle ne pouvait être désactivée et représentait dès lors un véritable danger.

Une faille très sérieuse dont Google a du mal à se débarrasser

Le cas le plus sérieux pouvait se manifester avec un simple MMS. Envoyé de nuit, pendant le sommeil de l’utilisateur, le contenu était préchargé et lu, les instructions étaient exécutées et un malware pouvait être téléchargé pour accomplir son méfait. Une fois l’opération terminée, le code avait suffisamment de droits pour effacer ses traces, de sorte qu’au réveil, l’utilisateur n’avait aucun moyen de savoir qu’un problème avait eu lieu.

Stagefright a eu le mérite en tout cas de relancer très sérieusement le sujet épineux de la gestion de la sécurité à long terme de la plateforme Android. Car si celle-ci reçoit régulièrement des mises à jour de sécurité, elles ne parviennent pas toujours à l’utilisateur. Il faut que son smartphone ou sa tablette soit assez récent pour être encore supporté par le constructeur. Google, Samsung et d’autres entreprises ont ainsi annoncé la mise en place d’un cycle mensuel, à la manière des Patch Tuesdays de Microsoft. Mais, là encore, seuls les appareils relativement récents en profitent.

Une version 2.0 qui exploite les métadonnées dans un navigateur

Et alors que tout le monde n’a pas encore été servi par les premiers correctifs, il faut déjà en prévoir d’autres. La société Zimperium, à l’origine de la découverte de Stagefright, revient avec une « version 2.0 » de la faille. Il s’agit plus précisément de la concordance de deux failles, une dans la bibliothèque libutils, l’autre dans libstragefright. La première est totalement nouvelle et Google a d’ailleurs créé un bulletin CVE spécifique. Selon Zimperium, c’est bien cette brèche (disponible sur toutes les versions à partir de la 1.0) qui permet d’activer la seconde.

Le vice-président de la recherche, Joshua Drake, explique sur le blog de l'entreprise que la faille peut être exploitée de plusieurs manières. Tout d’abord – et c’est la solution la plus simple – en attirant l’utilisateur sur une page web particulière, par n’importe quel moyen. Un pirate sur le même réseau pourrait également injecter le code malveillant via des techniques d’interception classiques (Man in the Middle) dans un flux en clair destiné au navigateur. Dans tous les cas, dès que les métadonnées sont lues, la bibliothèque exécute les instructions. Il s'agit donc à nouveau d'une faille RCE (Remote Code Execution), donc exploitable à distance.

Il suffit de ne cliquer sur rien

Le chercheur a indiqué au site Motherboard qu’il n’y avait rien à faire actuellement, à part sans doute vérifier les liens sur lesquels on clique (autant alimenter la psychose). Comme pour la première précédente de Stagefright, à peu près tous les appareils Android utilisés dans le monde pourraient être concernés, d'autant que les dernières mises à jour ne protègent pas de l'exploitation. Un Galaxy S6 parfaitement à jour par exemple y est donc vulnérable. Pour Zimperium, ce ne sont pas moins de 1,4 milliard d’appareils qui sont donc potentiellement exposés à ce risque. Potentiellement, car Joshua Drake précise : « Je ne peux vous dire que tous les téléphones sont vulnérables, mais la plupart le sont ».

Google est dans tous les cas informé de cette nouvelle variante. La faille centrale étant connue, il se pourrait que le développement d’un correctif ne prenne que peu de temps. Espérons d'ailleurs que la mise à jour soit déployée dès la prochaine série de bulletins mensuels.

45 commentaires
Avatar de anonyme_c81656a6914322f787aebc9dfc4d2ae4 INpactien

Espérons d'ailleurs que la mise à jour soit déployée dès la prochaine série de bulletins mensuels

Et que les opérateurs fassent les mises à jour de leurs firmwares avec surcouches de merde avant 2019.

Édité par Nathan1138 le 02/10/2015 à 08:17
Avatar de neointhematrix INpactien
Avatar de neointhematrixneointhematrix- 02/10/15 à 08:18:14

Alors que revoilà la sous préfète

:dix:

Prenez un chewing-gum Emile... Si si, prenez un chewing-gum Emile.

Avatar de Soltek INpactien
Avatar de SoltekSoltek- 02/10/15 à 08:24:20
  • Il s'est fait avoir par la tapette géante.

    • Monsieur n'est pas une tapette !

    :mdr:

Avatar de anonyme_95bde7ad91b4483068f10094cf1c28ca INpactien

stagefright, ça fini comme un épisode de Dallas

... to be continued ...

Avatar de tiny_naxos INpactien
Avatar de tiny_naxostiny_naxos- 02/10/15 à 08:43:06

Pas moyen de s'en prémunir avec un navigateur spécifique ? :/

Avatar de Haemy INpactien
Avatar de HaemyHaemy- 02/10/15 à 08:43:10

Le jour ou Kevin va pirater mon pauvre téléphone sous android 4.1( aucune maj disponible et pas envie de repasser à la caisse)  je vais prendre chère avec toutes les failles de disponible...

Avatar de M3t3or Abonné
Avatar de M3t3orM3t3or- 02/10/15 à 08:43:25

Ou comment motiver les gens a changer de ROM :fumer:

Avatar de Arona Abonné
Avatar de AronaArona- 02/10/15 à 08:45:11

Ou comment motiver les gens à acheter autre qu'Android.

Avatar de MuadJC INpactien
Avatar de MuadJCMuadJC- 02/10/15 à 08:48:59

Arona a écrit :

Ou comment motiver les gens à acheter autre qu'Android.

Ou comment les pousser à racheter du neuf.

Pas d'illusion, les gars, les gens ne connaissent en général que Iphone ou Google phone.

Avatar de flagos_ INpactien
Avatar de flagos_flagos_- 02/10/15 à 08:50:43

Arona a écrit :

Ou comment motiver les gens à acheter autre qu'Android.

Après tu as quoi ? Microsoft qui met 6 mois après divulgation à sortir un patch ? Apple qui n'arrive pas à savoir le nombre d'applis infestées par XCodeGhost sur son store ?
 
 C'est malheureux mais si on a pas un téléphone a jour, oui il faut vraiment installer une ROM. C'est de loin le mieux aujourd'hui.

Il n'est plus possible de commenter cette actualité.
Page 1 / 5