16/12/2024

Actu CybersécuritéMobile

Stagefright : Une faille Android inquiétante

La plupart des appareils sous Android rencontrent actuellement un sérieux problème de sécurité puisqu'un simple MMS permettrait d'exécuter du code arbitraire. 95% des utilisateurs Android seraient touchés, en se basant sur 1 milliard d'appareils ce qui en fait 950 millions de vulnérables.

La bibliothèque Android "Stagefright" développée en C++ contient la vulnérabilité et elle est appelée à chaque fois qu'un contenu multimédia pris en charge est détecté. Par exemple, un simple MMS sur un smartphone et la bibliothèque traite la photo ou la vidéo contenue, mais ça peut être aussi la lecture d'un contenu web...

logo-android50Un code particulier présent au sein d'un cliché peut permettre d'exécuter du code sur l'appareil puisqu'il sera traité par Stagefright. Le pire c'est que l'on ne peut rien faire puisque Stagefright pourra préparer le travail en arrière-plan lors de la réception d'un MMS...

Toutes les versions d’Android à partir de la 2.2 sont concernées. Google a déjà développé un correctif de sécurité contre cette vulnérabilité, mais maintenant l'enjeu est de déployer ce correctif sur les appareils et on sait à quel point les mises à jour sur Android ne sont pas déployées en même temps. Chaque constructeur va à son rythme. Au niveau applicatif, Firefox 38 contient déjà un correctif pour cette faille (connue depuis plus de trois mois) et nous sommes aujourd'hui à la version 39.

Les appareils tels que les Nexus devraient bénéficier rapidement d'un correctif puisque c'est Google qui est derrière. Pour les partenaires de Google, ce sera pour « dans les prochaines semaines ou les prochains mois ». On peut imaginer que les appareils trop anciens ne soient pas mis à jour...

Pour mettre la pression sur les constructeurs, des détails supplémentaires seront dévoilés lors de deux conférences : le 5 août au Black Hat et le 7 août à la DEF CON.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.