Sécurité

950 millions de téléphones menacés par l’exploitation de texte « Stagefright » grâce à la fragmentation d’Android

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Eh bien, ce n’est pas exactement ce à quoi nous nous attendions à nous réveiller : Joshua Drake de Zimperium zLabs dit qu’un simple piratage de SMS pourrait mettre en danger 950 millions de téléphones Android, il a dit à Forbes, dans ce qui pourrait être l’un des exploits les plus graves à avoir jamais frappé le système d’exploitation mobile – seuls les appareils exécutant Android 2.2 ou une version antérieure n’étant pas affectés par celui-ci.

Le bogue fait partie de Stagefright, un morceau de code dans Android qui lit les médias dans les MMS (message multimédia). Tout ce qu’un pirate informatique doit faire est d’envoyer un MMS contenant l’exploit au numéro de téléphone d’un appareil Android, ce qui lui permettrait d’y écrire du code et d’accéder à n’importe quelle partie du téléphone pour laquelle Stagefright a des autorisations.

Drake dit qu’il a initialement informé Google de l’exploit en avril et a envoyé des correctifs pour corriger les bogues. « En gros, dans les 48 heures, j’ai reçu un e-mail m’informant qu’ils avaient accepté tous les correctifs que je leur avais envoyés, ce qui était formidable », a-t-il déclaré à Radio Nationale Publique. « Vous savez, c’est un très bon sentiment. » Le problème est que le système d’exploitation Android est notoirement difficile à mettre à jour à moins que votre opérateur et votre fournisseur de téléphone ne jouent à la balle et ne coordonnent le déploiement d’un correctif.

Adrian Ludwig, ingénieur principal d’Android Security chez Google, a déclaré à NPR : « La faille est aussi élevée dans leur hiérarchie de gravité; et ils ont notifié leurs partenaires et déjà envoyé un correctif aux fabricants de smartphones qui utilisent Android, [but] que ce soit mis dans les téléphones des gens n’est pas entre les mains de Google.

C’est ce qui se passe lorsque vous mettez les mises à jour du système d’exploitation entre les mains d’entreprises qui préfèrent vous vendre un nouvel appareil plutôt que de passer l’effort de patcher celui que vous avez, en particulier lorsqu’il existe des centaines et des centaines de modèles différents, chacun avec sa propre coutume. code sur Android et tissé de différentes manières. Le corriger sera un cauchemar et dépendra entièrement de la façon dont chaque fabricant et opérateur approche et résout le problème individuellement.

Psssssst :  Le PDG d'Apple, Tim Cook, fustige le gouvernement et les entreprises privées pour la confidentialité des utilisateurs d'exploitation à ciel ouvert

Part de marché Android

Voici pourquoi : Selon développeur.android.com, au 1er juin, Android 4.4 (KitKat) reste la version la plus populaire d’Android, même s’il y a deux itérations en arrière, à 39 % du marché. Arrive en deuxième position Android 4.2 Jelly Bean avec 17,5 %, suivi d’Android 4.1 Jelly Bean avec 14,7 %. Android 5.0 et 5.1 Lollipop, les deux versions les plus récentes, ne sont que sur 11,6 et 0,8 % des appareils dans la nature, respectivement. Et ce n’est que le système d’exploitation lui-même ; essayer de corriger des fourches individuelles de chaque version de ce système d’exploitation de Samsung, Sony, LG, Motorola, ZTE, Huawei, HTC et d’autres fournisseurs est une toute autre histoire, sans parler des bloatwares et autres personnalisations chacun transporteur ajoute au système d’exploitation en plus de ce.

Collin Mulliner, chercheur principal à la Northeastern University, a déclaré dans l’interview : « Dans ce cas, Google n’est pas le véritable responsable. C’est finalement le fabricant de votre téléphone, en combinaison éventuellement avec votre opérateur… Si vous pouvez économiser de l’argent en ne produisant pas de mises à jour, vous n’allez pas le faire. Étant donné que le marché évolue si rapidement, il n’est parfois pas logique que le fabricant fournisse une mise à jour. »

Google n’a pas encore répondu publiquement à l’annonce de l’exploit.

Bouton retour en haut de la page