Android : la faille Stagefright est de retour
Cet été on a beaucoup entendu parler de la faille Stagefright qui touche les terminaux sous Android. La faille est de retour et c'est encore les chercheurs de Zimperium qui dévoilent de nouvelles vulnérabilités.
Bien que Google ait déployé des correctifs suite à la découverte de la faille Stagefright qui permettait à un hacker de prendre le contrôle d’un smartphone Android simplement en envoyant un MMS, il semblerait que la brèche ne soit pas vraiment colmatée. L’équipe de Zimperium vient de rendre publiques de nouvelles vulnérabilités qui permettraient de pirater un terminal Android au travers d’un fichier MP3 ou MP4.
Stagefright 2 : le retour de la faille
Décidément, Android n’en a pas fini avec la faille Stagefright. Cette faille qui rendait vulnérable 950 millions d’appareils sous Android avait été découverte par les chercheurs de chez Zimperium. Finalement, le problème est encore plus important que prévu car de nouvelles vulnérabilités pourraient également toucher les terminaux équipés d’Android 5.0 Lollipop.
Ces nouvelles failles concernent les librairies “libstagefright” et “libutils”, la première est présente sur les appareils fonctionnant sous Lollipop, la seconde est présente dans toutes les versions Android. Là encore, il suffit d’un MMS ou d’un SMS envoyé à l’utilisateur pour prendre le contrôle de son appareil, même si celui-ci n’ouvre pas le fichier, la prévisualisation est suffisante pour infecter le terminal.
Google et les fabricants sur le coup
Zimperium a choisi de ne pas diffuser de preuves pour le grand public mais la société a prévenu Google et les différents constructeurs de smartphones. Elle mettra également à jour ses outils de détection dès que Google aura déployé une mise à jour. Le géant américain a assuré qu’un patch devrait bientôt être disponible pour les Nexus d’abord puis il sera mis à la disposition des autres fabricants. Comme toujours, cela devrait prendre un peu de temps.
En attendant les correctifs, méfiez-vous si vous recevez des fichiers MP3 ou MP4, assurez-vous que la source est fiable.