peshkova - Fotolia
Android : Stagefright revient, plus menaçant
Deux nouvelles vulnérabilités affectent la librairie Stagefright utilisée par Android. Cette fois-ci, toutes les versions disponibles de l’OS mobile de Google sont concernées.
Deux nouvelles vulnérabilités affectent la librairie Stagefright et concernent toutes les versions disponibles d’Android. Elles viennent d’être rendues publiques par Joshua Drake, vice-président recherche et exploitation de Zimperium. Plus précisément, l’une d’elles affecte toutes les versions d’Android depuis la 1.0, et l’autre concerne Android 5.x. Drake est à l’origine des recherches qui ont mis en lumière une première vulnérabilité affectant Stagefright dans Android 2.2 et plus.
Selon Zimperium, les vulnérabilités pourraient permettre à un attaquant d’envoyer un fichier audio MP3 ou vidéo MP4, pour exécuter à distance du code malicieux lorsqu’Android en traite les métadonnées. Si le fichier est fourni par un site Web compromis, ce code peut être exécuté à l’insu de l’utilisateur. Google a annoncé, fin septembre, que plus de 1,4 milliard de terminaux Android sont actifs à travers le monde. Tous pourraient être menacés.
Il n’est toutefois pas complètement évident de savoir dans quelle mesure la librairie Stagefright, utilisée pour le traitement des fichiers multimédia, s’avère plus dangereuse à la lumière de ces nouvelles révélations. Comme l’a souligné Google, après l’annonce fin juillet de la première vulnérabilité affectant Stagefright, Android 4.1 et plus a recours à la technique d’allocation aléatoire de la mémoire vive (ASLR). Celle-ci réduit fortement la probabilité d’un exploit réussi. A partir de sa version 5.0, Android ajoute à cela l’exigence d’exécutables indépendants de leur position en mémoire (PIE) pour toutes les librairies liées dynamiques.
Et justement, selon les chiffres de Google, 92 % des terminaux Android actifs utilisent au moins une version 4.1 – 21 % des appareils sont sous Android 5.0 ou plus. En somme, environ 112 millions de terminaux sont concernés par les vulnérabilités de Stagefright et ne profitent pas de l’ASLR ou de PIE.
Le géant du Web assure n’avoir reçu de rapport d’exploitation active de ces vulnérabilités. Mais Tyler Shields, analyste sénior chez Forrester Research, explique de l’ASLR peut être contourné et qu’il est très difficile de savoir si l’on a été ou pas victime d’une exploitation de ces vulnérabilités : « un exploit bien construit peut permettre de mettre en place une porte dérobée sur le terminal visé, sans que l’utilisateur ne sache que l’attaque a eu lieu. La compromission est relativement simple et peut être réalisée via plusieurs vecteurs entrants différents. Le code d’exploitation est disponible ; il n’y a qu’à choisir sa cible et tirer ».
Google indique avoir été contact avec Zimperium tout au long du processus de découverte de ces vulnérabilités et avoir mis à jour ses applications Hangouts et de messagerie pour qu’elles ne transmettent pas automatiquement les contenus multimédias aux processus vulnérables. En outre, des correctifs seront fournis aux utilisateurs de terminaux Nexus et à la base de code Open Source d’Android dans le cadre de ses mises à jour de sécurité mensuelles, en ce lundi 5 octobre. Les correctifs ont par ailleurs été transmis aux constructeurs le 10 septembre. A charge pour eux de les diffuser auprès de leurs clients.
Et pour Shields, c’est bien là tout le problème pour Google : ne pas savoir si oui ou quand les utilisateurs vont recevoir les correctifs de la part des constructeurs. « Le problème est que le délai de remédiation n’est pas maîtrisable. La chaîne logistique que doit traverser chaque correctif avant de toucher l’utilisateur final est considérablement trop longue, et rend presqu’impossible l’implémentation rapide de mesures de sécurité », estime Shields. Et d’ajouter que « Google doit faire mieux dans la gestion du processus d’application de correctifs de sécurité pour tous les terminaux, en dépit de ce que peuvent vouloir les constructeurs. La sécurité des utilisateurs doit primer ».
Adapté de l’anglais.