Android : une nouvelle faille peut rendre les terminaux « végétatifs »

Trend Micro vient de rendre publique une vulnérabilité qui touche le service mediaserver d'Android. Exploitée avec un fichier MKV malicieux, elle peut faire bloquer 50% des appareils du marché.

Trend Micro vient de dévoiler une faille dans le système d’exploitation de Google qui peut empêcher les terminaux de répondre à n’importe quelle commande, mettre l’écran en veille et désactiver l’envoi et la réception de messages. Un état qualifié de « végétatif » par le spécialiste en sécurité qui résulte en fait d'un plantage de l'appareil.

Un tel exploit serait réalisable à cause d’une faille dans le servie mediaserver qu’Android utilise pour indexer les fichiers multimédias. « Ce service ne peut pas gérer correctement un certain type de fichier vidéo volontairement mal formé qui utilise les conteneurs MKV. Quand le processus ouvre ce fichier malicieux, le service crashe et avec lui le reste de l’OS », explique Wi Wu, chercheur chez Trend Micro.

Plus précisément, la vulnérabilité est causée par un « integer overflow » (lorsqu'une opération produit une valeur supérieure à celle prévue et disponible dans l'espace de stockage) qui survient lorsque le service mediaserver parse le MKV. « Il accède alors la mémoire au-delà du buffer », ce qui provoque le plantage.

La vulnérabilité affecte les versions 4.3 et supérieures d’Android. Autrement dit, plus de 50 % du marché actuel.

Prévenu par Trend Micro, Google n’a cependant pas décidé de classer cet exploit dans la catégorie des priorités critiques. La solution à cette attaque est en effet assez simple : il suffit de rebooter l’appareil. Et, dans le cas où le fichier malicieux se trouve dans une application installée par l’utilisateur, de désinstaller l’app.

Il n’en reste pas moins que d’après le PoC de Wi Wu, envoyer un tel fichier – et donc réaliser l’exploit – se fait de manière très simple. Par une app donc, mais aussi et surtout via un site internet (et ce, même si Chrome pour Android désactive la lecture automatique de fichier multimédia). Une arme de plus pour les auteurs de Ransomware, prédit le chercheur. Peut-être pas la plus redoutable mais certainement une des plus simples à mettre en œuvre aujourd’hui.

Google conseille donc (et à nouveau) de ne pas télécharger de fichiers inconnus, de ne pas installer d’applications douteuses et de respecter les règles de bon sens du surf sur Internet.

Ceci étant, un autre scénario d’exploitation de la vulnérabilité est possible. Plus ennuyeux celui-ci. Dans le cas où l’attaque intervient par le biais d’une application, celle-ci peut se lancer automatiquement au moment du reboot de l’OS et le faire rebuguer directement sans laisser l’opportunité à l’utilisateur de la désinstaller.

Google devrait fournir un patch dans une prochaine version d’Android. Ses équipes se concentrant actuellement prioritairement sur Stagefright une autre faille préoccupante dévoilée en début de semaine.

Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)

Close