Android n'est toujours pas débarrassé des failles de sécurité liées à Stagefright, le framework servant à la lecture des fichiers multimédias.

Fin juillet, Zimperium, une équipe de chercheurs en sécurité, révélait qu'il était possible de pirater un smartphone Android à l'aide d'un simple MMS malicieux. Google a réagi promptement en annonçant un nouveau mode de distribution des mises à jour de sécurité et en publiant un correctif... incomplet.

Un second patch a depuis été mis à disposition des fabricants, mais voilà que Zimperium a déniché deux autres vulnérabilités dans Stagefright pouvant conduire à un piratage.

Le vecteur d'attaque n'est plus un MMS — Google a consolidé ses apps de messagerie —, mais un site web, une application ou une attaque de type man in the middle.

Les deux vulnérabilités sont de taille, puisqu'elles permettent à un malandrin d'exécuter du code arbitraire et qu'elles concernent plus d'un milliard d'appareils — toutes les versions d'Android sont touchées, même les plus récentes.

Google a déclaré que ces failles seront comblées dans une mise à jour prévue pour la semaine prochaine. Les Nexus seront donc rapidement immunisés. Plusieurs fabricants (Samsung, Motorola, LG...) se sont engagés à distribuer immédiatement ces correctifs mensuels.