Stagefright, bête noire de la sécurité d'Android
Android n'est toujours pas débarrassé des failles de sécurité liées à Stagefright, le framework servant à la lecture des fichiers multimédias.
Fin juillet, Zimperium, une équipe de chercheurs en sécurité, révélait qu'il était possible de pirater un smartphone Android à l'aide d'un simple MMS malicieux. Google a réagi promptement en annonçant un nouveau mode de distribution des mises à jour de sécurité et en publiant un correctif... incomplet.
Un second patch a depuis été mis à disposition des fabricants, mais voilà que Zimperium a déniché deux autres vulnérabilités dans Stagefright pouvant conduire à un piratage.
Le vecteur d'attaque n'est plus un MMS — Google a consolidé ses apps de messagerie —, mais un site web, une application ou une attaque de type man in the middle.
Les deux vulnérabilités sont de taille, puisqu'elles permettent à un malandrin d'exécuter du code arbitraire et qu'elles concernent plus d'un milliard d'appareils — toutes les versions d'Android sont touchées, même les plus récentes.
Google a déclaré que ces failles seront comblées dans une mise à jour prévue pour la semaine prochaine. Les Nexus seront donc rapidement immunisés. Plusieurs fabricants (Samsung, Motorola, LG...) se sont engagés à distribuer immédiatement ces correctifs mensuels.
J'admire beaucoup le travail de ces chercheurs en sécurité. Les façons dont ils arrivent a trouver des failles dans les systèmes, c'est vraiment impressionnant.
@Xap :
+1
Ça doit être un boulot passionnant.
Je pense la même chose, comprendre et maîtriser ce que la plupart des gens ignore doit être gratifiant. Ça doit être la même chose pour les métiers très spécialisés mais l'informatique et la sécurité ou sa corruption de haut vol a son charme pour les fans de technos que nous sommes. :-D coïncidence totale car je viens de terminer et d'apprécier 3 épisodes de la série Mr Robot qui ma foi est la meilleure réalisation que j'ai vu sur les hackers.
C'est un métier, et en France on a de très bonnes écoles pour ça. Apres le coté passionnant, je pense que ça depend des personnalités, il faut être méticuleux et avoir la patience de collecter des données, chercher des zones puis les explorer systématiquement sans certitudes de trouver. C'est un vrai travail d’enquêteur et ça peut etre long, sachant que l'obsolescence étant très rapide, on peut découvrir une faille au moment ou le systeme est mis a jour et la faille a disparue dans cette mise a jour...
Pour en revenir au cas présent, il s’agit d'une faille critique majeure puisqu'elle ne nécessite pas l’accès directe a la machine et la difficulté de Google pour la combler demontre que le mecanisme est present dans le cœur du systeme.
Tout de même il est difficile de ne pas voir dans ce fonctionnement la présence d'une porte dérobée...
Tu penses qu'on peut "apprendre" ce métier en école ? À mon avis ce genre de personnes doivent avoir un esprit de génie avant toute chose.
Je ne fais pas que le penser, je le constate...
Je pense qu'il y a très peu de génies dans ce secteur, mais qu'il y a beaucoup de gens très bien formés et qui travaillent vraiment beaucoup.
Au moins grâce à ces failles Google prend plus au sérieux la distribution des mises à jours de sécurité. Et les constructeurs aussi, parce que avant ...
J'adore lire "sécurité" et "Android" dans la même phrase. C'est rigolo.
Un peu comme ios9 et sable c'est marrant aussi ;)
C'est marrant, ils sont où les Sachouba ou autres pour dire qu'android est bien meilleur, et qu'il n'y a pas de problème de sécurité...
^__^
@Thegoldfinger :
C'est marrant !!! C'est EXACTEMENT ce que j'étais en train de me dire ?
Ceux qui nous ont fait ch** euh je voulais dire qui nous bassiné que Apple était tellement lente pour corriger toutes les failles zero day qui traînent dans iOS et OS X...
Ouaip, ils sont sans doute au même endroit que ceux qui nous rabachent à l'envi que les Os Apple sont quasi exempt de bug comparé à cette merde de Windows... Oh, wait, el Capitan est sorti... et je ne suis pas sur que Microsoft aie une seule fois sorti un Os ou tu ne pouvais carrément plus travailler, ni en musique, ni en vidéo, ni en bureautique...
Vista?
Windows 95
Windows 3.1
Windows 1
MS DOS
Attention à ne pas oublier le très célèbre "Millenium".. élu pire système d'exploitation du siècle et qui connu le plus grand nombre de plaintes et de downgrade.. Navigateur qui plante, système qui freeze, logiciels windows 98 devenus incompatibles, périphériques inutilisables...
Microsoft aie... ? aie aie aie
" Microsoft aie " C'est un plémonasme !
En attendant avec cette porte des chiotes dérobée j'ai un S5 mini briqué.
Et Sav refuse la garantie pour cause de virus sur telephone rooté. S'il n'a pas besoin d'etre rooté pour chopper un virus... Piege à con.
Au moins avec Apple et mon 5S on reste a peu près a l'abri.