Stagefright 2.0 : la pire des menaces Android ?

Si les chercheurs en sécurité découvrent des menaces quasiment toutes les semaines sur l'ensemble des systèmes d'exploitation (Windows, Mac OS X, Linux, iOS, Android... tout le monde est concerné), rares sont les failles de sécurité qui sont susceptibles de menacer l'ensemble des utilisateurs d'un OS. C'est pourtant bien ce qu'il pourrait se passer pour tous les détenteurs d'un smartphone ou d'une tablette Android : Stagefright v2.0 peut potentiellement concerne les quelques 1,3 milliard d'utilisateurs que compte le système mobile de Google.

Petit retour sur la version 1.0 de Stagefright

Il y a un peu plus de deux mois était découvert Stagefright, une faille de sécurité découverte touchant les appareils Android. La menace, mise en lumière par Zimperium (une société spécialisée dans la sécurité), peut se propager par l'intermédiaire d'un simple MMS et d'un fichier multimédia. Il faut donc qu'un hacker dispose du numéro de téléphone de sa cible pour l'infecter et prendre le contrôle de son appareil. En outre, la faille ne concerne « que » 95% des appareils sous Android (ceux qui sont restés sous une version antérieure à la 2.2 du système ne sont pas touchés).

Plus besoin de MMS, tout se fait par le Web

Avec Stagefright 2.0, la menace franchit un nouveau cap : non seulement elle concerne l'intégralité des appareils depuis Android 1.0, mais elle dispose d'une nouvelle méthode de propagation. Beaucoup moins contraignant pour le hacker, Stagefright 2.0 se propage en effet via une simple page Web et les métadonnées. La faille exploite en fait deux bibliothèques incluses dans l'ensemble des appareils : libutils et libstragefright. La lecture de fichiers en MP3 ou MP4 sur la page (et infectés par un malware) permet à un pirate de prendre le contrôle d'un appareil Android.

Un patch prévu pour octobre

En clair, l'intégralité des appareils sous Android est potentiellement concernée. Si Zimperium n'a diffusé aucune preuve de concept, la société a prévenu Google de cette menace le 15 août dernier. Un correctif a d'ores et déjà été trouvé, lequel sera diffusé dans la mise à jour d'Android d'octobre. Enfin, si un outil permettant de détecter Stagefright existe sur le Google Play (Stagefright Detector), il ne supporte pas encore la v2.0 de la menace. Une mise à jour de l'application est prévue lorsque Google publiera son patch pour Android.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire