Android pas débarrassé de la faille Stagefright
Une rustine trouée, c'est ce qu'a fourni Google pour corriger une faille Android critique dévoilée fin juillet. Des chercheurs en sécurité d'Exodus Intelligence ont remarqué qu'il était toujours possible de tirer parti de Stagefright, le framework servant à la lecture des fichiers multimédias, pour mettre à mal la sécurité des terminaux patchés.
En envoyant un fichier MP4 malicieux par MMS, les chercheurs ont réussi à faire planter un smartphone qui avait reçu le correctif. Google a confirmé ce nouveau problème et prévu un second patch. « Nous avons déjà envoyé le correctif à nos partenaires pour protéger les utilisateurs, et les Nexus 4/5/6/7/9/10/Player recevront la mise à jour OTA en septembre », a indiqué l'entreprise à The Verge.
La faille dans Stagefright concerne 95 % des terminaux Android, soit environ 950 millions d'appareils. À la suite de sa divulgation fin juillet, les principaux fabricants se sont engagés à déployer rapidement le correctif (qui n'est donc pas au point) et Google a annoncé un nouveau mode de distribution des mises à jour de sécurité.
On passe donc d'une faille de sécurité corrigée rapidement par Google, Motorola,Samsung, Sony (et d'autres) à un bug qui lui aussi sera corrigé.
C'est certe un problème, mais pas la passoire décrite, je vois autant de bugs dans un iPhone ou un WIndows Phone...
@Ze_misanthrope
Où l'art d'appeler un chat un chien pour se mentir à soi-même.
La faille Stagefright est elle-même le résultat d'un bug. Une faille ce n'est ni plus ni moins qu'un bug exploitable pour faire un truc pas prévu, généralement malveillant.
Donc, en corrigeant la faille, Google a corrigé un bug. Mais ce n'est visiblement pas suffisant.
Google a peut-être corrigé quelques lignes de code mais elle n'a pas encore comblé la faille, puisqu'un bug est toujours exploitable pour les mêmes résultats et par le même biais.
"C'est certe un problème, mais pas la passoire décrite, je vois autant de bugs dans un iPhone ou un WIndows Phone..."
La dernière grosse faille de ce type remonte à iOS4 et jailbreakme. Depuis on a jamais vu une faille d'une telle gravité sur iOS, et ça ne veut pas dire qu'il n'y en aura jamais plus d'ailleurs.
Mais le problème n'est pas là. Le problème c'est que la vulnérabilité d'Android est aggravée par sa fragmentation et sa politique des 18 mois.
Combien d'appareils Android vont rester sans défense après que Google aura publié le bon correctif ?
Si tu lisais un peu l'actualité tu saurais que la fait est corrigée (première version foireuses, on est d'accord) chez Samsung, Google, Sony, Motorola et certainement d'autres.
Pas de quoi hurler à la fragmentation et à l'hécatombe.
Oui, cela prend du temps, mais vraiment plus que chez les autres OS?
Je ne parle pas du graphe des versions Android qui va rien à voir avec les correctifs de sécurité...
@Ze_misanthrope :
Elle a été corrigé rapidement car fortement médiatisé, est-ce le cas de toutes les fail ?
Google aurait mieux fait de gérer les maj directement sans passer par les constructeurs.
Comme tous les OS du monde, comment savoir si les failles non médiatisées sont corrigées ou pas sans être dans le milieu de le sécurité?
@Ze_misanthrope
"Si tu lisais un peu l'actualité tu saurais que la fait est corrigée (première version foireuses, on est d'accord) chez Samsung, Google, Sony, Motorola et certainement d'autres.
Pas de quoi hurler à la fragmentation et à l'hécatombe."
Quel correctif ? Celui de Google qui est foireux ?
Quels modèles de téléphones chez les constructeurs que tu cites ?
Il en restera combien à la fin des téléphones de chez "Samsung, Google, Sony, Motorola et certainement d'autres" qui seront toujours vulnérables parce que pas mis à jour justement ?
"Je ne parle pas du graphe des versions Android qui va rien à voir avec les correctifs de sécurité..."
Oui, il y a un système de mise à jour de sécurité performant sur Android, mais qui n'est pas toujours suivi par les constructeurs et les opérateurs.
On aura bien assez tôt un premier bilan des téléphones sécurisés. En attendant c'est désactivation des MMS pour tout le monde jusque septembre...
"Oui, cela prend du temps, mais vraiment plus que chez les autres OS?"
Google est au courant depuis le mois d'avril. Vu la gravité de la faille en question, on imagine que toutes ses équipes ont bossé dessus nuit et jour pendant 4 mois pour proposer... un correctif foireux. En septembre on saura si Google en est venu à bout après 6 mois de travail. Restera aux constructeurs d'enfin combler la faille sur un maximum d'appareils et pas simplement le petit dernier.
Les failles de sécurité sur iOS sont comblées tous les 3 mois maximum à l'occasion des mises à jour mineures de première catégorie (passage de 8.3 à 8.4 par exemple) et parfois plus tôt (au passage de 8.4 à 8.4.1) sur tous les téléphones de moins de 4 ans (et bientôt 5 puisque l'iPhone 4S est compatible avec iOS9)
Sur Android, c'est 18 mois après la sortie du Playstore pour les MàJ de sécurité. Après t'es à poil.
Donc pour un grand nombre de consommateurs, cette faille ne sera tout simplement jamais comblée.
Les maj de sécurité sur Android c'est 3 ans et pour les maj systèmes ca passe de 18 à 24 mois
@misanthrope
C'est fou de voir quelqu'un quelqu'un défendre une telle faille...
J'espère que Google te paye bien !
Monsieur l'attaché de presse qui se raccroche au branche, la faille, SI, elle est corrigé en Septembre, aurait durée 2 mois.
Mais qui te dis qu'en Septembre le nouveau patch fonctionnera ? Il peut être buggé comme celui ci...
Relis les commentaires des articles sur les failles iOS et les commentaires sur les failles Android avec un œil un peu extérieur, cela fait sourire :-)
La faille en question ne peut etre simplement patchee pour resoudre le probleme. Tout patch va bloquer un type d'exploitation, mais pas resoudre le probleme de conception qui est a la base.
Il va falloir que Google reecrive un pan entier de l'OS afin de resoudre definitivement le probleme. Et cela ne se fera que dans une version majeure.
On a le meme probleme sur OS X 10.10 avec les failles qui touchent le communication entre processus. Apple fati comme Android et patch les exploitations connues mais le probleme ne peut etre resolu que dans 10.11.
D'ailleurs quand on regarde de pres ces failles, on se rend vite compte que leur presence est trop similaires pour etre juste le resultat d'erreur de conception. Pour ma part j'y voir plus la patte de la NSA qu'autre chose. Manque de chance, ces supports a porte derobees ont fini par etre decouvert et exploités par des gens qui ne font pas partis de ceux prevus...
Un bug trouve est un bug à moitié corrige comme disait mon directeur de these
Si c'est que 1 milliard de smartphone, c'est pas trop grave (lol!!!)
C'est pas de Stagefright qu'il faut se débarrasser, c'est d'Androïd, tout simplement !
Nan, faut se débarrasser de ceux qui ne savent pas écrire un mot aussi simple qu'Android sans ajouter de trémas!
Un OS aussi merdique qu'Androïd mérite largement de se faire écorcher son nom, plutôt deux fois qu'une d'ailleurs !
[Modéré - SM]
Il faut le minimum de respect pour celui qui lit, et il est très intéressant de se faire corriger ses fautes (hors faute de frappe ou de correction clavier) afin de ne plus les faire.
J'apprécie les fois ou un autre lecteur m'apprend les expressions que j'ai utilisés à tort, ou les faux amis de grammaire, c'est assez intéressant quand on a l'esprit ouvert. Mais cela ne doit pas être non plus tout le contenu du message ;-)
J'avoue effectivement avoir oublié de rajouter un peu de contenu à mon message précédent, mais vu la réponse de l'énergumène, je me doute que son but est juste d'exterminer Android je ne voudrais pas lui faire perdre de temps dans sa quête
@Ze_misanthrope :
"Nan, faut se débarrasser de ceux qui ne savent pas écrire un mot aussi simple qu'Android sans ajouter de trémas!"
On ajoute pas un tréma c'est simplement le correcteur qui le met .
iPhone 5S en iOS 9 beta ne le fait pas chez moi
iPhone 4 en iOS 7.1.2 non plus.
Il propose Android, le système d'exploitation, ou androïde, robot à forme humanoïde, mais je ne vois pas de mot inventé par Apple sur mes devices.
@Ze_misanthrope :
C'est vraiment magnifique une telle impartialité de ta part !!
T'es pris la main dans le pot de confiture et tu continues à clamer ton innocence ;)
BRAVO le ridicule ne tue pas...
Un peu d'humilité dans pareil cas serait pourtant la bienvenue, mais bon...
Humilité dans quel sens ?
Ou est ce que je clame mon innocence ? De quoi suis je accusé ?
Autant de questions pas faciles à répondre sans plus d'information !
@Ze_misanthrope
Tu mens sur la sécurité d'Android, Android est une passoire, la faille est grave , toujours pas corrigé, et toi, tu dévies le sujet, pour un tréma ... -___-
le tréma, c'est pour taquiner le troll.
Le reste, libre à vous de penser que 80% du monde utilise un téléphone complètement insécurisé, passoire, plein de lags et de défauts, que tous les gouvernements laissent faire et que je suis plus protégé en utilisant mon iPhone que mon Nexus.
C'est votre avis, merci de me l'avoir communiqué, je n'insiste pas.
Pour ma part, je me renseigne, je vois les mises à jours qui ont été faites (dont une foirée, je ne remets pas en question) et je mitige un peu votre passoire. Mais si cela permet de vous rendre plus importants et plus hautains envers "les autres", c'est OK.
Bonne soirée.
@Ze_misanthrope :
Au vu du nombre de tes post, utiles au demeurant car ne contenant aucun argument en mesure de convaincre quiconque (à part toi même apparement), tu dois vraiment t'ennuyer en vacance...
Vivement la rentrée ?
Ze misanthrope á entièrement raison mais vous êtes tellement aveuglé par votre ignorance de tout ce qui n'a pas une pomme dans le dos ajouter á une dose de fanboyisme extrémiste sans justification que vous ne voyez pas ces arguments qui sont réels et parfaitement vérifiable
De votre côté, je n'ai vu AUCUN argument qui lui donne tord
C'est surtout que vous aimez montrer que vous faites partie de "l'élite" et rabaissez ceux qui utilise autre chose en critiquant ce que vous ne connaissiez pas et où vous prenez même pas la peine de faire quelques recherches pour éviter de raconter n'importe quoi
Ce genre de comportement me débecte
"fanboyisme "
Quand on parle français, qu'on est pas sexiste, et qu'on ne cherche pas à faire des anglicismes foireux, on dit 'fanatisme'.
C'est toujours mieux que d'écrire "androïd"
@Ghaleon111 :
Non.
C'est un terme qui correspond à leur comportement malgré tout
@Ghaleon111 :
Ainsi qu'au comportement de celui qui l'emploie : chercher à voir et montrer du doigt du "banboy" au lieu de discuter des faits avec des arguments.
J'ai justement discuter des faits avec des arguments contrairement à ceux auquel je répondais, tu est sur d'avoir lu mon post ?
Il ne faut pas lire que la première phrase et de simple recherche prouve que ze misanthrope á raison
Aussi je ne te vois rien dire á ceux qui raconte n'importe quoi comme par hasard et j'ai la réponse, ceux qui vont dans le sens d'Apple ont le droit de raconter tout est n'importe quoi sur les autres en plus d'avoir le droit de manquer de respect á leurs interlocuteurs tout en restant dans l'erreur
Et toi tu cherche à critiquer çelui qui ne fait simplement que rétablir la vérité et qui dénonce le comportement stupidement "fanatiques" comme tu préfère qui sont incapable de faire une simple recherche par peur de se rendre compte qu'ils ont tord
Ça en dit long sur ton objectivité á toi aussi ou alors tu aurais préférer que je trouve á ta place et á celle des autres les tas de lien web qui réduisent leurs argumentations (qui n'en sont pas) á zéro
Il y a encore quelque jours, je lisais que Blackberry allait passer chez Android.
Tout ce qui se rapproche d'Android ou de Google est a éviter, meme si il y a une couche constructeur derrière.
Tout à fait et c'est à l'encontre de la philosophie de Blackberry qui met le priorité sur la sécurité.
C'est marrant, ceux qui veulent faire un OS mobile sécurisé partent d'Android...
@bibi81 :
C'est le seul OS avec le code source disponible. Voilà la raison.
Non ce n'est pas le seul ! Il y a au moins Firefox OS et Tizen... Et rien n'empêche ces personnes de tisser des liens avec Apple ou Microsoft pour sécuriser leur OS.
La raison doit être ailleurs...
Oui : le nombre d'applications disponibles.
Comment tu vas faire avec ton iPhone qui rapporte bien plus à Google qu'un smartphone Android ?
put*** @Ze_misanthrope tu défends l'indéfendable ! cette faille est juste une conséquence de la médiocrité de Google et du manque de respect envers les utilisateurs! tout ce qui les intéresse c'est comment amasser le max de données à vendre! android et une merde qui met en danger la sécurité des millions de smartphones! quand est ce que les gens comprendront ça?
Médiocrité partagée par à peu près l'ensemble des fabricants d'OS...
Apple met combien de temps pour combler les failles d'OSX? Certaines sont connues depuis très longtemps, et Apple met beaucoup de temps (des mois) à les combler...
Microsoft sont dans le même cas qu'Apple, Android...
Si tout le monde à ces même problèmes, récurrents et depuis qu'ils existent, c'est peut-être bien parce qu'à ce niveau, que ce soit pour des raisons financières ou techniques, ou un peu des deux, c'est plus un aléas que de la médiocrité...
Médiocrité par rapport à nos espérances de parfaititude, absolument dans la norme de ce qui se fait si on compare au marché...
Non, cette faille n'est pas très différente de celle qui faisait planter un iPhone qui recevait un SMS contenant des caractères arabes spécifiques. La différence, c'est que le correctif fourni par le chercheur qui a révélé la faille (et non directement par Google, qui n'a fait que déployer la rustine fournie...) était lui-même imparfait. Elle n'est pas révélatrice d'un manque de sécurité intrinsèque. Au contraire, c'est un aspect pris très clairement au sérieux par Google. J'en veux pour preuve que la plupart des failles de sécurité ne dépendent plus de mises à jour de l'OS, mais dès que c'est possible, ça passe par une mise à jour directe des services Google, automatique, transparente, sans intervention de l'utilisateur.
Après, oui, on peut toujours télécharger ce qu'on veut. Et on est responsabilisé par le déverrouillage de sources tierces manuelles avec un joli panneau d'avertissement. Après, si on VEUT télécharger un truc vérolé, c'est pas Android ou iOS qui feront la différence.
Ah, et au fait : il y a une version d'Android qui est correctement protégée : c'est CyanogenMod. Me demande pas pourquoi leur patch est différent de celui de Google, je n'en sais rien, mais les faits sont là...
Pour rappel aux alarmistes. Une faille gigantesque est toujours présente dans iOS. Non corrigée, depuis de nombreux mois. La preuve, le jailbreak est toujours possible. Allez y cherchez donc une escuse ici.
Corrigé la faille ... Ah bon ???
J'attend toujour le mien, Mr GOGOL de l'Alphabet du point G !
Merci aux Djihadiste ANDROBÏDEux, de me rassurer un peu ici,
car ca n'est pas grave apparemment.
Oui ce n'est pas grave. Parce qu'à moins de laisser trainer ton numéro de téléphone un peu partout sur le web, tu as très très très peu de chance pour ne pas dire aucune de recevoir un SMS avec un fichier exploitant la faille Stagefright. Tu vas me dire que tu peux regarder un truc sur le web, le télécharger, et obtenir le même résultat, ce qui est vrai. Mais je me demande bien où tu seras allé chercher le fichier mkv en question... ^_^
Et je répète ce que j'ai déjà dit : tu veux un Android plus sécurisé ? Passe à CyanogenMod. Si tu as un téléphone avec une surcouche tu vas beaucoup y gagner, notamment en sécurité et en suivi des mises à jour. La preuve avec cette faille comblée par CM. ;-)
Oh, et accessoirement, essuie ta bave au coin des lèvres, on va finir par te croire enragé. ^_^
À croire que certaines personnes soient mariés à leur OS...
L'info importante est que les malandrins utilisent des mp4 malicieux ! C'est les coquinoux qui vont être contents !