Une nouvelle faille de sécurité vient d’être découverte sous Android. C’est en fait la petite sœur de Stagefright, une grave faille de sécurité rendue publique par des experts en sécurité à la fin du mois de juillet.

StageFright

Le 27 juillet dernier, Joshua Drake, expert en sécurité, avait annoncé avoir trouvé une grave faille de sécurité touchant 95 % des terminaux sous Android. Baptisée Stagefright, la faille avait été découverte au sein de la bibliothèque portant le même nom et intégrée à AOSP pour gérer les fichiers multimédias. Google avait donc corrigé le code source d’AOSP (non sans encombre), et certains constructeurs avaient déployé une mise à jour de sécurité. Alors que le parc est encore largement vulnérable, faute de mises à jour sur la plupart des anciens terminaux, Stagefright refait parler d’elle. Baptisées Stagefright 2.0 pour l’occasion, les experts de Zimperium zLabs ont trouvé deux nouvelles vulnérabilités.

La première faille concerne encore une fois la bibliothèque Stagefright. Celle-ci peut-être exploitée par l’intermédiaire d’un fichier vidéo MP4 spécialement développé pour l’occasion. Une faille qui touche les appareils sous Android 5.0 Lollipop ou une version supérieure. La seconde vulnérabilité concerne cette fois-ci la bibliothèque libutils qui est parfois utilisée par les constructeurs et les développeurs pour la lecture des fichiers audio MP3. Cette faille serait présente depuis la version 1.0 de la bibliothèque, sortie en 2008. La plupart des appareils Android seraient touchés.

 

Les MMS en retrait pour cette version

Comme pour Stagrefright 1.0, les deux nouvelles failles permettent de prendre le contrôle de certaines fonctions (photo, vidéo, audio, etc.) de l’appareil à distance, une fois qu’un média MP3 ou MP4 aura été traité par l’appareil. Mais contrairement à la précédente faille, il est désormais plus compliqué de passer par les MMS pour l’exploiter puisque la plupart des applications de MMS (comme Google Hangouts et Google Messenger) ont été mises à jour pour ne plus traiter automatiquement un média. Pour rappel, il suffisait que l’appareil traite les métadonnées d’un média (afin d’indexer le fichier par exemple) pour que la faille soit exploitée. Avec Stagefright 2.0, le fonctionnement est similaire, mais les pirates devront passer par d’autres méthodes s’ils veulent augmenter leur chance de succès, par exemple un site web spécialement conçu pour l’occasion, en interceptant le trafic du smartphone en étant sur le même réseau ou si l’utilisateur utilise une application non protégée (messagerie instantanée, lecteurs multimédias, etc.).

 

Un patch déjà en route

Google est déjà au courant de l’existence de ces deux failles depuis le 15 août dernier, date à laquelle les chercheurs en sécurité ont informé l’entreprise de leur existence. La faille sera en fait corrigée lors de l’arrivée de la prochaine mise à jour de sécurité Nexus (Nexus Security Bulletin) prévue pour arriver la semaine prochaine. Les principaux constructeurs devraient également proposer cette mise à jour sur leurs terminaux récents comme ils s’y étaient engagés cet été.

Comments

comments

Vous aimerez aussi :

  1. Stagefright : les patchs contiennent eux aussi une faille de sécurité
  2. Stagefright : les patchs contiennent eux aussi une faille de sécurité
  3. Stagefright : l’exploit de la faille est désormais public
  4. CyanogenMod met à jour sa ROM pour combler la faille Stagefright
  5. OxygenOS corrige également la faille Stagefright sur le OnePlus One