Sécurité

Nouvelle série d’exploits de sécurité Stagefright trouvés dans Android – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Android a connu un certain nombre de problèmes de sécurité au fil des ans, mais le Trac Un bug qui a été rendu public au cours de l’été a incité Mountain View à agir comme jamais auparavant. Des correctifs ont déjà été déployés pour ce bogue, mais maintenant Sécurité La société Zimperium a annoncé une deuxième série d’exploits Stagefright qui ne sont pas couverts par le premier patch. Le chercheur et vice-président de Zimperium, Joshua Drake, affirme que la nouvelle vulnérabilité de Stagefright est aussi dangereuse que la première. La bonne nouvelle? Google a déjà des correctifs prêts à l’emploi.

Malgré son nom effrayant, Stagefright n’est pas vraiment le nom d’un exploit. Il fait référence à la bibliothèque du moteur multimédia dans Android connu sous le nom de libstagefright. La nouvelle vulnérabilité de Stagefright est similaire à la première, mais le vecteur d’attaque est différent. Stagefright 1.0 s’appuyait sur les messages MMS pour déclencher le traitement d’un fichier multimédia malveillant par Stagefright. Cela pourrait théoriquement être utilisé pour exécuter du code arbitraire sur l’appareil. Le nouveau problème consiste à cibler les appareils via des pages Web hébergeant les fichiers multimédias malveillants (un MP3 ou un MP4). L’effet est le même – l’attaquant peut exécuter du code via la bibliothèque Stagefright sur votre appareil.

Le nouveau bogue Stagefright implique en fait deux composants système, dont l’un est libstagefright. Le bogue pertinent pour celui-ci n’a été introduit que dans Android 5.0, de sorte que les gros titres revendiquant un milliard d’appareils concernés ne racontent que la moitié de l’histoire. Stagefright 2.0 implique que libstagefright appelle une bibliothèque appelée libutils de manière vulnérable – c’est le cœur de l’exploit. La bibliothèque libutils est dans Android depuis la version 1.0, donc chaque appareil a ce bogue. Il est possible que d’autres composants du système effectuent un appel d’API tout aussi dangereux, il doit donc toujours s’agir de correctifs dès que possible. Cependant, Stagefright 2.0 dans sa forme actuelle n’est techniquement dangereux que sur Android 5.0 et supérieur.

trac

Google a été informé par Zimperium à l’avance de la vulnérabilité et a correctifs développés qui seront déployés dans la mise à jour Nexus du 5 octobre. C’est également la mise à jour qui apporte Android 6.0 aux appareils Nexus, donc toutes les versions de Marshmallow devraient avoir cette vulnérabilité corrigée. D’autres appareils Android doivent attendre les mises à jour des OEM et des opérateurs, mais Samsung et LG se sont déjà engagés à diffuser les mises à jour de sécurité. sur une base mensuelle. Cela a toujours été le problème avec les correctifs de sécurité Android, mais cela devrait être un peu mieux cette fois-ci.

En attendant, faut-il paniquer ? Tout comme le premier exploit de Stagefright, il n’y a aucune preuve que cette vulnérabilité a déjà été utilisé dans la nature. Il est important de réaliser que Stagefright lui-même n’est pas nocif pour votre appareil, c’est juste un moyen potentiel. Un attaquant a toujours besoin d’un code qui fait quelque chose à l’appareil, que ce soit voler des données ou obtenir un accès root sur le système. Ce sont des exploits très difficiles à découvrir dans Android ces jours-ci.

Psssssst :  Le FBI accuse des espions russes pour le piratage de Yahoo

Le bug Stagefright n’est pas joli, mais le ciel ne tombe pas.

Bouton retour en haut de la page