Stagefright : un simple MMS peut cracker 95 % des appareils Android
Une faille de sécurité présente dans le code source d’Android permettrait de prendre le contact d’un appareil Android à l’aide d’un simple MMS. 950 millions de terminaux sont potentiellement menacés.
Il y a quelques semaines, nous vous évoquions comment il était possible de bloquer un iPhone à l’aide d’une simple chaîne de caractère envoyée par SMS. Un souci gênant, mais qui, à priori, n’engendrait pas de soucis de sécurité majeure.
C’est maintenant au tour d’Android de subir un problème similaire, mais qui pourrait cette fois avoir des conséquences bien plus fâcheuses. Les chercheurs en sécurité de la firme Zimperium viennent de découvrir une faille de sécurité critique dans le code source du système d’exploitation mobile de Google qui pourrait être exploitée à l’aide d’un simple MMS.
95 % des smartphones Android potentiellement menacés par un MMS
Cette faille, baptisée Stagefright, a été localisée dans le framework de la bibliothèque multimédia qui permet notamment la lecture de fichiers vidéos. Une librairie utilisant le C ++ qui l’expose à une corruption mémoire.
Pour l’exploiter, rien de bien compliqué en soit puisqu’il suffirait aux hackers mal intentionnés d’envoyer un simple MMS permettant d’injecter le code malveillant et exécuter le code à distance. Le chercheur indique que le message pourrait être effacé avant que l’utilisateur ne le consulte. Potentiellement, 95 % des appareils Android seraient vulnérables, ce qui représente un parc de 950 millions de smartphones et tablettes.
Researchers find vulnerability that affects 95% of Android devices http://t.co/WRLqa6MwI8 via @VentureBeat
— Zimperium (@Zimperium) July 27, 2015
Faille corrigée, mais pas encore patchée pour tout le monde
La bonne nouvelle, c’est qu’à peine averti de la faille, la firme de Mountain View a mis en place le patch fourni par les experts de Zimperium dans le code de l’Android Open Source Project.
La mauvaise nouvelle, c’est que le processus de mise à jour de ces 950 millions d’appareils risque de prendre un temps colossal selon le bon vouloir des fabricants. Plus inquiétant encore, les appareils datant de plus de 18 mois risquent de ne jamais recevoir ce correctif. Joshua Drake, qui est à l’origine de la découverte de la faille Stagefright indique que les utilisateurs de Blackphone et plus étonnant, d’une version de Firefox antérieur à la 38 sont concernés par la faille.