Android : une faille de sécurité critique qui demande à être colmatée par les fabricants

Stéphane Moussie |

Pour pirater un appareil Android, il suffit d'envoyer un MMS malicieux qui va tirer parti d'une faille de sécurité dans le code d'AOSP, la base libre du système, et ainsi permettre d'exécuter du code à distance. C'est la découverte de Zimperium zLabs qui parle carrément de « plus grave faille d'Android jamais trouvée » parce qu'elle concerne 95 % des terminaux, soit environ 950 millions d'appareils, et qu'elle est simple à exploiter — il faut juste avoir le numéro de téléphone de la victime (et le code d'exploitation, évidemment).

La faille se situe dans Stagefright, le framework servant à la lecture des fichiers multimédias. À l'aide d'un fichier multimédia malicieux envoyé par MMS, le malandrin peut exécuter du code à distance sur le terminal, sans même avoir besoin que le MMS soit ouvert à un moment ou à un autre. La simple réception du MMS par la cible ouvre les portes de son smartphone. L'attaquant peut même faire en sorte de supprimer le MMS malfaisant afin de ne laisser aucune trace d'effraction puisqu'il a la main sur l'appareil.

Cette découverte sera présentée en détail lors des conférences Black Hat le 5 août et Def Con 23 le 7 août. Google a été mis au courant et a d'ores et déjà mis au point un correctif.

La balle est maintenant dans le camp des fabricants pour distribuer ce patch le plus rapidement possible. Toutefois, comme le note Zimperium zLabs, « ce genre de mise à jour pour les terminaux Android prend traditionnellement du temps pour parvenir jusqu'aux utilisateurs » et les appareils qui ont plus de 18 mois ne sont plus pris en charge généralement. « Nous espérons que les membres de l'écosystème Android vont prendre conscience de la gravité de ce problème et vont appliquer immédiatement des mesures », déclare le spécialiste de la sécurité.

Firefox, qui était aussi vulnérable, a vu le problème réglé dans sa version 38 et le Blackphone, qui exploite AOSP comme base, a également été immunisé. À tous les autres de se protéger maintenant.

avatar EBLIS | 

Pour mon Samsung Note 3 c'est donc mort, vu la rapidité de réaction de Samsung quant aux mises à jour. Je vais me faire "malandriner"... sinon c'est quand que vous vous mettez à la recherche d'un autre terme que malandrin qui ne correspond pas vraiment aux cas dans lesquels vous le citez?

avatar Shralldam | 

@EBLIS :
Je propose de remplacer malandrin par coquinou.

avatar iPekka | 

@Shralldam :
Je crois qu'il serait plus correcte d'utiliser fripouille.

avatar Ze_misanthrope | 

Encore under distortion de la réalité.
1) non, il ne suffit pas d'envoyer un MMS, il faut aussi que la victime aie activé les options de développeur pour activer les sources inconnues...
2) pour les lecteurs simples d'esprit : il ne faut pas passer à la dernière version d'Android pour les patches de sécurité.

avatar Ghaleon111 | 

Eh oui, ils ne sont pas au courant que contrairement à iOS, les maj de sécurité se font indépendamment de l'os
C'est un avantage d'android, beaucoup de choses sont dispatcher de l'os

avatar C1rc3@0rc | 

Error code 8
The proxy failed to connect to the web server, due to TCP connection rejection (TCP Reset).

Voila ce que l'on a si on essaie d'atteindre l'article original. Il doit être héberge sur un téléphone Android...

Dans les faits, la faille touche Android 2.2 jusqu'a Android 5.1, soit effectivement au moins 950 millions d'appareils.

La faille touche un composant de l'OS écrit en C++, donc la vulnérabilité touche la RAM.
Le MMS verolé peut être effacé une fois l'attaque démarrée, permettant a l'attaquant de dissimuler l'attaque.

Le virus dans le MMS est active des que Hangout le reçoit. Meme pas besoin d'ouvrir le MMS...

Plus inquiétant la faille se trouve dans la version de base d'Android (AOSP) ce qui veut dire que les versions commercialisees d'Android peuvent être plus gravement touchees et necessitent des correctifs spécifiques, cela pour peu que le fabricant ait modifie un peu AOSP...

La faille sera publiquement devoillee les 7 aout, autant dire qu'a partir de ce moment des hordes de scriptkiddies (hacker en pamperz) pourront s'amuser a récupérer toutes les photos et video dans les téléphones Android et prendre le contrôle de la camera sans que le proprietaire s'en rende compte.

Bonne nouvelle, les Nexus seront normalement proteges... pour les autres: achetez un iPhone.

PS: ils se sont encore fait choper a la NSA!

PPS: Soyons constructif, une alternative c'est de desinstaller Hangout et de mettre SMS Secure a la place.

avatar Stéphane Moussie | 
@Ze_misanthrope :
1/ Où as-tu lu qu'il faut que la victime aie autorisé les sources inconnues (qui ne nécessite pas d'activer les options développeurs au passage...) ? Zimperium zLabs n'en fait pas état dans son billet et je ne l'ai lu dans aucun autre article sur le sujet.
2/ Je n'écris en aucune manière qu'il faut passer à la dernière version d'Android pour les patchs de sécurité. Relis l'article : "La balle est maintenant dans le camp des fabricants pour distribuer ce patch le plus rapidement possible."
avatar Ze_misanthrope | 

-Edit, je me suis trompé sur les sources inconnues... Supprimé.-

Pour la version d'Android, je parlais plus aux lecteurs qu'à toi, qui reviennent avec leur habituel "Android pas mois à jour donc pas sécurisé" sans savoir de quoi ils parlent. Mérité effectivement après relecture, mon message peut être lu de plusieurs manières, désolé, je vais clarifier

avatar Lemmings | 

Heu on peut tout à fait autoriser les sources inconnues sans le mode dev...

avatar Ze_misanthrope | 

Houps, effectivement, c'est corrigé! Il ne faut pas activer les options développeur, mais c'est quand même une manip non anodine de l'utilisateur avec un gros warning sur la sécurité!

avatar Ze_misanthrope | 

Effectivement, merci pour lma correction, mais c'est qd même une manipulation non anodine de l'utilisateur avec un gros avertissement sécurité!

avatar Bigdidou | 

@Ze_misanthrope :
Donc, si l'autorisation des sources inconnues n'est pas active, ou si on la désactive avant d'être la cible de MMS malandresque (ou malandrinesque ?), on est à l'abri, c'est bien ça ?

avatar FollowThisCar | 

'leur habituel "Android pas mois à jour donc pas sécurisé" sans savoir de quoi ils parlent.'

Euh, les pauvres ne savent peut-être pas de quoi ils parlent, mais moi je ne comprends plus de quoi on parle là. Rien pigé.

avatar eree | 

Ze_misanthrope et Ghaleon111 se précipitent pour défendre leur Android adoré.
Sauf qu'ils auraient mieux fait de vraiment lire l'étude au lieu de raconter n'importe quoi.

1) Faux (cf. l'article original en anglais)
2) Pour cette faille, la mise à jour indépendante de l'OS n'est pas possible. Il faut donc que les constructeurs appliquent le patch eux même.

avatar Ze_misanthrope | 

Dommage, j'utilise un 5S comme téléphone principal, et tu te trompes. Comme si il fallait à tout prix une version X d'un software pour bloquer du code malicieux. Même l'auteur de l'article le dit dans sa réponse plus haut
Tes connaissances sont limitées, mais vas y, fais toi plaisir

avatar feefee | 

@Ze_misanthrope :

"Encore under distortion de la réalité.
1) non, il ne suffit pas d'envoyer un MMS, il faut aussi que la victime aie activé les options de développeur pour activer les sources inconnues...
2) il ne faut pas passer à la dernière version d'Android pour les patches de sécurité.
Un jour peut être, un article objectif ? Mais oui, cela fait moins de visites et affiche moins de publicités..."

Quelques piqûres se Serotonine te feraient le plus grand bien ....

avatar Ze_misanthrope | 

Fidèle à toi même, merci pour ta discussion et tes arguments !

avatar Bigdidou | 

@Ze_misanthrope :
"1) non, il ne suffit pas d'envoyer un MMS, il faut aussi que la victime aie activé les options de développeur pour activer les sources inconnues..."

Tu es certain de ça ? Est-ce que tu as des sources ?
C'est plutôt important, comme information. La faille va être rendue publique dans très peu de temps, si j'en crois la News, et comme beaucoup, j'imagine, j'ai un téléphone pro Android qu on me fournit. Sans "lui confier ma vie" (comme je le lis un peu plus dans une remarque assez consternante), je n'ai aucune envie que des petits rigolos ou des curieux accèdent à mes contacts, messages etc,,, (ben oui, un smartphone, c'est fait pour communiquer des choses, donc, forcément, sans lui confier sa vie, y a des choses dedans).
Donc, si la faille n'existe que dans la configuration que tu expliques, qui n'est pas une configuration d'usine, si je comprends bien, ça me rassurerais, comme beaucoup d'autres, j'imagine. Mais des sources me semblent importantes, ça pourrait donner des biscuits pour discuter avec , ben, je sais pas qui s'occupe vraiment des smartphones, où je bosse, en fait...
Sinon, on peut désactiver les MMS (en gardant les SMS), sur Android et ça protègerait ?

C'est quand même juste monstrueux, comme faille, si c'est accessible sur un téléphone en config d'usine, et si elle vraiment rendue publique dans quelques jours...

avatar Bigdidou | 

@bigdidou :
J'ai même du mal à y croire vraiment, à ce truc, tellement c'est énorme.
C'est vrai de vrai ? Certain ?

avatar Bruno de Malaisie | 

@EBLIS :
Les villains (en anglais)

avatar Shralldam | 

"À l'aide d'un fichier multimédia malicieux envoyé par MMS, le coquinou peut exécuter du code à distance sur le terminal, sans même avoir besoin que le MMS soit ouvert à un moment ou à un autre."

Avouez :-D

avatar filaton | 

@Shralldam :
+ 1000 :D

avatar Henri_MTL | 

@Shralldam: loooool ! :)

avatar EBLIS | 

Aaaah ouiiii :-) je vote!!!

avatar Jamseth | 

Enormissime !

avatar fousfous | 

Ça va être marrant l'espionnage de masse de tout les proches via leurs smartphones Android ^^

avatar moua | 

Les opérateurs pourraient filtrer les MMS (comme les Gmail & co scannent les mail pour vérifier la présence d'un virus en PJ). C'est la solution la plus "simple" à mettre en place vu le nombre de terminaux concernés, sa fragmentation, et les MAJ qui n'arrivent qu'après 6mois (y compris pour un Galaxy S4 par exemple, qui a seulement 2 ans)

avatar Lemmings | 

@moua : cela serait une option intelligente mais je doute de sa mise en place.

En tout cas c'est une faille très sérieuse. Étonnante d'efficacité. J'espère que les maj vont aller vite...

avatar reborn | 

Et les androfans se foutaient de la gueule d'Apple avec son iphone qui effectuait "seulement" un respring a cause d'une chaine de caractères..

avatar Lemmings | 

Que ce soit iOS ou Android, ce genre de failles est très grave. C'est pas une question de guerre de clochers là.

Enfin c'est la première faille majeure découverte dans Android depuis ses débuts, on a déjà vu des iPhone se faire jailbreak juste en visitant un site web... C'est du même acabit de danger.

La grosse différence, c'est qu'Apple maîtrise globalement les mises à jours des appareils, et peut donc agir en masse bien plus facilement.

avatar Sostène Cambrut | 

@Lemmings

La première faille majeure ?

http://www.phonandroid.com/une-faille-de-securite-menace-100-des-android...

http://www.tomsguide.fr/actualite/android-faille-securite,44076.html

http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/smartpho...

T'en trouveras certainement autant sur iOS et c'est pas une raison pour te voiler la face.

Mais comme tu le dis, le problème d'Android c'est pas les failles (pas plus que les autres OS en tout cas) mais les mises à jour de sécurité.

avatar Lemmings | 

La première n'est pas une faille en tant que tel, mais une élévation de privilège sans informations à l'utilisateur.

Les deux autres sont complexes à exploiter et n'ont touché que bien peu de gens en réalité. Même sans mises à jour.

Là ça peut toucher tout le monde sans rien faire, c'où la gravité.

avatar Mathias10 | 

@reborn :
Oui bon. Ne fanfaronnons pas trop! On est pas à l'abris d'une chose du genre non plus (-)

avatar sopcaja | 

@Mathias10
Peu être! Sauf que aucun autre acteur n'arrive à la cheville d'Apple sur le déploiement de mis à jour et correctifs.

avatar EBLIS | 

Ce n'était pas iOs seulement, il me semblait que ça arrivait sur la version pc aussi, on parle bien de Skype non?

avatar zzBoibes | 

Arf là c'est quand même du lourd. S'il n'y a même pas besoin d'ouvrir le MMS pour être infecté il va être très dur de savoir si un smartphone a été infecté. A moins que Google ne sorte une sorte d'application de test pour avertir l'utilisateur qui en fait la demande.

avatar Lemmings | 

Tu ne vois pas le MMS mais tu as la notif.

avatar Sostène Cambrut | 

@Lemmings

Si le MMS est envoyé pendant que l'utilisateur dort j'imagine qu'un petit morceau de code est capable d'effacer la notification du système tu ne crois pas ?

avatar Lemmings | 

Non, justement.

avatar Hideyasu | 

@Lemmings :
J'imagine qu'il est aussi possible pour le coquinou (^^) de supprimer la notif.

C'est vrai que la vitesse de déploiement des mises à jours va vraiment poser soucis la.

avatar Hideyasu | 

@Hideyasu :
Au passage, j'imagine que des ce soir tout le monde peut apprendre à exploiter cette faille, ça risque d'être drôle tient.

avatar Sostène Cambrut | 

@Hideyasu

Et ça doit pas être bien compliqué de faire un programme qui:

-Envoie le MMS
-Prends le contrôle du téléphone
-Envoie le MMS à tout le répertoire du téléphone
-Recommence sur tous les téléphones infectés

La NSA est sur le coup.

avatar Hideyasu | 

@Sostène Cambrut :
Ouai, en une nuit quelqu'un de rapide peut facilement infecter des milliers de personnes.

Bref on verra la suite mais je sors déjà les popcorn ^^

avatar Ze_misanthrope | 

Non ce n'est pas aussi simple.
Comme dit plus haut, pour exécuter du code, il faut que la cible autre activé les options développeur et les sources inconnues, ce qui n'est pas fait par tour le monde.
Il faut lire les articles originaux et pas le click bait de blogs qui ne font que recopier l'information

avatar phoenixback | 

@Ze_misanthrope :
Quais tout le monde d'un peu malin débloque son android et avtive le mode dev + root sachant que meme un noob apple comme moi ben je l'avais fait sur ma tablette android...

avatar Ze_misanthrope | 

Quand on est malin, on ne roote pas...

avatar bbtom007 | 

Le mms en question serait steeve jobs mangeant une pomme

avatar Sostène Cambrut | 

@bbtom007

C'est marrant, je voyais plus un coup de Ballmer qui doit l'avoir un peu dure d'avoir raté le coche du smartphone.

avatar sopcaja | 

Lol. Sachant que les appareils Android ne sont quasi jamais mis à jour, ça va en faire des zombies dans la nature.
Et après y en a qui sont toujours capables de te dire que les mis à jour ne servent à rien.

Pages

CONNEXION UTILISATEUR