Android est affecté par deux nouveaux soucis de sécurité, dont l’un n’est autre qu’une variante de la brèche Stagefright, qui revient une fois de plus sur le devant de la scène. La seconde réside dans les SoC Snapdragon et dans le code d'exploitation livré par Qualcomm pour Android.
Android est à nouveau frappé par des soucis de sécurité qu’il sera difficile de juguler pour l’ensemble des utilisateurs. La faille Stagefright, que l’on pensait morte et enterrée (tout du moins pour ceux qui ont eu la chance d’obtenir un ou plusieurs correctifs), est ainsi de retour, dans une nouvelle variante tout aussi simple à exploiter par les pirates.
La faille qui ne voulait pas mourir
Rappelons d’abord que Stagefright tire son nom d’une bibliothèque multimédia d’Android, présente sur la quasi-totalité des appareils. Si vous recevez par exemple un MMS contenant une photo, c’est elle qui assure la décompression de l’image et son affichage. Techniquement, elle effectue même ce travail avant que vous n’ayez ouvert l’application de messagerie.
La première faille Stagefright tirait parti de cette caractéristique. Par une attaque bien préparée, les pirates pouvaient envoyer un simple MMS, faire exécuter un code à distance et provoquer par exemple l’installation d’un ou plusieurs malwares. Il était même techniquement possible d’effacer les traces d’une telle intervention malveillante, l’utilisateur se réveillant ainsi sans se douter de ce qui s’est passé pendant la nuit.
Une variante passant l'affichage de vidéos sur une page web
La faille a été corrigée à plusieurs reprises, en particulier parce que les premières mises à jour ne colmataient pas complètement la brèche. Et voilà qu’elle est de retour, sous une nouvelle forme d’exploitation. C’est la société israélienne NorthBit qui en a fait la découverte, jusqu’à en publier tous les détails dans un document de recherche.
L’exploitation de la faille, nommée par les chercheurs Metaphor, a un air de déjà-vu puisqu’elle commence par attirer l’utilisateur sur un site web spécialement conçu. Sur une page, les pirates placent un contenu vidéo qui a pour mission de faire planter le serveur multimédia d’Android, provoquant alors sa réinitialisation. Durant cette phase, un code JavaScript envoie au serveur des informations sur l’appareil de l’utilisateur.
Le serveur envoie ensuite en retour une vidéo contenant un code spécifiquement adapté à l’appareil pour exploiter la faille dans Stagefright, révélant alors de nouvelles informations sur l’état interne. Enfin, ces données permettent de renvoyer une troisième vidéo contenant cette fois la « charge virale », la bibliothèque Stagefright exécutant alors le code sans savoir qu’un malware y est présent. L’ensemble de la procédure prend moins de dix secondes.
Les appareils vulnérables s'ils ne disposent pas de toutes les mises à jour
Toujours selon les chercheurs, l’exploitation de la brèche (plus précisément la CVE-2015-3864) est faite de telle manière que certaines techniques d’atténuation des risques ne fonctionnent pas, notamment l’ASLR (Address Space Layout Randomization), qu’elle contourne. Cette protection n’est d’ailleurs pas présente dans les versions 2.2 à 4.0 d’Android. Metaphor fonctionne également avec les versions 5.0 et 5.1, mais semble impossible a priori sur les moutures 4.1 à 4.4.
Selon Gil Dabah, cofondateur de NorthBit interrogé par WIRED, il est nécessaire d’avoir la totalité des mises à jour de sécurité installées pour être tranquille. Au vu des versions touchées par Metaphor, cela ne laisse que les possesseurs d’appareils sous Android 5.1, les plus à même d’avoir reçu les correctifs. Ce qui accroit d’ailleurs la pression sur les autres, les recherches de NorthBit pouvant être exploitées « par les gentils, comme par les méchants », de l’aveu même de Dabah.
Les SoC Snapdragon victimes d’une double faille
Si Stagefright n’est pas nouvelle, la faille contenue dans les puces Snapdragon de Qualcomm l’est bel et bien. L’alerte a été publiée par Trend Micro, qui explique que le code d’exploitation de ces SoC contient des bugs qui, en cas d’exploitation, peuvent permettre la prise de contrôle du smartphone ou de la tablette.
Il existe en fait deux failles, nommées CVE-2016-0819 et CVE-2016-0805, causant respectivement un problème de type « Use After Free » dans Android et un dépassement de mémoire tampon. L’association des deux peut mener à l’exécution d’un code arbitraire, mais trend Micro, qui a communiqué en privé les détails des failles à Google, n’en dévoile pas davantage sur les mécanismes d’action.
Tous les possesseurs d’un appareil dont le SoC serait issu de la série 800 des Snapdragon sont vulnérables, en conjonction avec une version 3.10 du code kernel fourni par Qualcomm. Les tests d’exploitation ont par exemple réussi sur les Nexus 5, 6, 6P ainsi que sur un Galaxy Note Edge. Il faudra d’ailleurs attendre que les mises à jour de sécurité soient déployées, ce qui pose encore une fois le problème de leur disponibilité.
Les objets connectés eux aussi touchés par le problème
D’ailleurs, le vrai souci de ces deux failles est que les processeurs Snapdragon ne se retrouvent pas que dans des smartphones et tablettes Android. Ils sont également présents dans divers objets connectés, qui ont donc exactement le même risque d’être attaqués. Trend Micro indique : « Si les objets connectés doivent être aussi répandus que nombre d’experts le prédisent, il faut que soit présent un système assurant que ces produits sont sans danger pour le grand public. Les mises à jour de sécurité sont une nécessité absolue aujourd’hui, et les utilisateurs de ces appareils connectés ont besoin de savoir à quoi ils ont affaire ».
Pour les possesseurs d’un Nexus, le problème ne se pose plus si les dernières mises à jour de sécurité ont été installées. Les correctifs sont en effet présents dans la dernière fournée du 7 mars. Pour les autres, tous les appareils comportent une version 4.4.4 à 6.0.1 du système sont vulnérables, et il va falloir attendre que les constructeurs déploient à leur tour les correctifs. Pour les objets connectés, la situation est plus floue. Les entreprises sont averties, mais la diffusion d’une mise à jour dépendra beaucoup du type de produit.
