Android : une faille de sécurité critique qui demande à être colmatée par les fabricants

Stéphane Moussie |

Pour pirater un appareil Android, il suffit d'envoyer un MMS malicieux qui va tirer parti d'une faille de sécurité dans le code d'AOSP, la base libre du système, et ainsi permettre d'exécuter du code à distance. C'est la découverte de Zimperium zLabs qui parle carrément de « plus grave faille d'Android jamais trouvée » parce qu'elle concerne 95 % des terminaux, soit environ 950 millions d'appareils, et qu'elle est simple à exploiter — il faut juste avoir le numéro de téléphone de la victime (et le code d'exploitation, évidemment).

La faille se situe dans Stagefright, le framework servant à la lecture des fichiers multimédias. À l'aide d'un fichier multimédia malicieux envoyé par MMS, le malandrin peut exécuter du code à distance sur le terminal, sans même avoir besoin que le MMS soit ouvert à un moment ou à un autre. La simple réception du MMS par la cible ouvre les portes de son smartphone. L'attaquant peut même faire en sorte de supprimer le MMS malfaisant afin de ne laisser aucune trace d'effraction puisqu'il a la main sur l'appareil.

Cette découverte sera présentée en détail lors des conférences Black Hat le 5 août et Def Con 23 le 7 août. Google a été mis au courant et a d'ores et déjà mis au point un correctif.

La balle est maintenant dans le camp des fabricants pour distribuer ce patch le plus rapidement possible. Toutefois, comme le note Zimperium zLabs, « ce genre de mise à jour pour les terminaux Android prend traditionnellement du temps pour parvenir jusqu'aux utilisateurs » et les appareils qui ont plus de 18 mois ne sont plus pris en charge généralement. « Nous espérons que les membres de l'écosystème Android vont prendre conscience de la gravité de ce problème et vont appliquer immédiatement des mesures », déclare le spécialiste de la sécurité.

Firefox, qui était aussi vulnérable, a vu le problème réglé dans sa version 38 et le Blackphone, qui exploite AOSP comme base, a également été immunisé. À tous les autres de se protéger maintenant.

Tags
#android #sécurité #Stagefright
avatar Ze_misanthrope (non vérifié) | 

Android est souvent mis à jour avec des patches de sécurité.
Juste la version de l'OS qui ne l'est pas

avatar Ielvin | 

Réglages /(plus) /réseaux mobiles /noms des points d'accès / [valeur=votre opérateur] MMS / port mms.
Le changer devrait suffire.

avatar malcolmZ07 | 

pas grave il suffit de mettre une rom custom patchée =)

avatar Lemmings | 

Les MMS c'est de la grosse merde de toutes façons :D

(blague hein)

(mais pas totalement, un bon vieux mail c'est quand même bien mieux)

avatar reborn | 

c'est drole, mais dès qu'android à un soucis il n'y a personne pour dire que l'os et la boite vont totalement s’écrouler etc...

Demain il arrive la même chose sur ios, direct cela sera de la faute à Cook

avatar Sometime | 

@reborn :
On a compris les gens sont méchants avec Apple

avatar Hideyasu | 

@Sometime :
C'est con mais malheureusement vrai. À croire que vu que c'est Apple, ils n'ont pas le droit à l'erreur, pourtant l'erreur est humaine !

avatar sopcaja | 

@Lemmings :
Ha ha je vois que Bruce Heller se rassure comme il peut dans les commentaires de cette news.

avatar Lemmings | 

Je me rassure de rien, c'est une grosse faille... Mais à défaut de troller, je me cache pas moi...

avatar phoenixback | 

La fin d'android?

avatar alan1bangkok | 

les 2 failles principales sont les fanboys Apple et les AndroidFan..
très difficile à combler..
tenaces ,résistantes
pas de vaccin à ce jour

avatar debione | 

LA principale faille étant surtout de confier sa vie a un smartphone....

avatar Thegoldfinger | 

Depuis le temps qu'on le dit qu'Android c'est une passoire...

J'adore Misanthrope qui est censé connaître Android et qui raconte n'importe quoi :)

1.Non pas besoin de root ou de mode développeur.
2.Non un simple match de sécurité ne suffit pas (Faille Aosp).

On dirait un attaché de presse qui essaye d'éteindre un incendie ;)

avatar Orus | 

Ze_misanthrope : Attaché de presse ou personne qui veut profiter tranquillement de cette faille ? :)

avatar aza | 

Les appels vers des numéros surtaxés vont fleurir sur les factures de pal mal de gens si cette faille n'est pas comblée rapidement. Les photos de vacances ou les conversations entre amis "tout le monde" s'en fout, une personne mal intentionnée cherchera les brouzoufs, et pour ça, dans ce domaine, rien de mieux que les appels vers les 08€€€€€€€€, totalement légaux eux !

avatar Lemmings | 

Alors petites choses à savoir pour rétablir les faits (pas évident avec les fanboy des deux bords) :

1) La faille est réelle, importante et dangereuse. Cependant, les détails n'étants pas encore divulgués, elle n'est pas, à date, exploitée.
2) Pas besoin d'activer les options de dev ou autres sources inconnues, c'est bel et bien une faille au sein du système (lecture vidéo plus précisément)
3) La faille est aggravée par l'usage de Hangouts comme client SMS/MMS, car il "ouvre" directement le MMS en tâche de fond, activant la faille. Les clients sms classiques eux nécessitent à l'utilisateur de lire le MMS (pas de lancer la vidéo) pour être infectés.
4) La faille étant en réalité dans le composant de lecture vidéo, on pourrait la voir exploitée à partir d'un mail, page web ou tout autre vecteur de fichiers vidéo... Le MMS étant ici juste un moyen d'envoyer le fichier.

avatar Bigdidou | 

@Lemmings :
Je te remercie beaucoup de tes précieuses précisions, en particulier à propos de Hangouts.
Mais avec un autre client de SMS/MMS par défaut, il faut ouvrir le message, ou lancer le client suffit (ou on en sait encore rien) ?

avatar Lemmings | 

@Biddidou : les autres clients (en tout cas "messenger" de Google par exemple) nécessitent d'afficher le MMS (mais pas d'ouvrir la vidéo).

avatar phantoom | 

J'ai trouvé plus d'explication sur le fonctionnement de la faille :

"La faille repose sur une fonctionnalité, baptisée "Stagefright", qui pré-télécharge automatiquement les extraits vidéo attachés à des textos pour éviter à leur destinataire d'avoir à attendre pour les regarder. "

J'ai donc une solution toute simple en attendant le patch :

Décocher la case dans les paramètres de Hangout qui autorise la récupération automatique des MMS.

Fin du problème.

avatar Lemmings | 

@phantoom : non car un simple mail, une page web ou autre pourrait aussi avoir la vidéo qui ouvre la faille...

avatar phantoom | 

@Lemmings

"non car un simple mail, une page web ou autre pourrait aussi avoir la vidéo qui ouvre la faille.."

Et la encore non... car pour que cela fonctionne il faudrait que lextrai vidéo soit dans le corps du mail et pas en pièce jointe, et que tu decide volontairement de lancer la vidéo en question... mail qui lui proviendrai d'une source douteuse (SPAM).

Quand à la page web la encore cela demande une action de l'utilisateur pour une prise de contrôle éventuelle.

avatar feefee | 

@phantoom :

"Fin du problème."

Ton optimisme concernant (surtout) Android fait toujours plaisir à voir :-)

avatar phantoom | 

@feefee

"Ton optimisme concernant (surtout) Android fait toujours plaisir à voir :-)"

Nous verrons bien si Android subit une attaque massive ou non...

Quand à mon optimisme, c'est normal, j'ai un nexus. Comme je considère même pas l'achat d'une version d'android à la con comme celle de Samsung and co, problème réglé pour ma part avec un patch prévu par Google

avatar Trollhunter | 

Question :
Sur Android, à quoi sert Navigateur vs Chrome // Messages vs Hangout ?

avatar phantoom | 

@Trollhunter

"Question :
Sur Android, à quoi sert Navigateur vs Chrome // Messages vs Hangout ?"

Doublons causés par le fait qu'android version HTC Samsung and co n'utilisent pas la messagerie selon Google ou le Navigateur selon goolge mais la version constructeur. Néanmoins sur Android ces apps sont désintallables... voir même remplaçables par ce que tu veux.

Mais le problème n'existe pas sur un Nexus puisque tu n'as que chrome ou hangout d'origine

Pages

CONNEXION UTILISATEUR