On dirait que Stagefright frappe à nouveau.
Le bogue de sécurité qui régnait sur les téléphones fonctionnant sous des versions d'Android OS comprises entre 2.2 et 4 a maintenant été conçu pour attaquer les appareils fonctionnant sous Android 5.0 ou version ultérieure.
Joshua J. Drake, vice-président de la recherche chez Zimperium zLabs, a découvert un autre problème de sécurité dans Android appelé Stagefright 2.0. Drake affirme que deux vulnérabilités peuvent survenir lors du traitement de fichiers audio MP3 et MP4 spécialement conçus.
$config[code] not foundApparemment, dans les fichiers MP3 et MP4, une fonction permet l'exécution de code à distance (RCE). Cela signifie essentiellement que les fichiers MP3 et MP4 infectés peuvent donner à quelqu'un l'accès nécessaire pour exécuter une tâche sur votre téléphone Android. Le simple fait de visionner une chanson ou une vidéo malveillante peut mettre votre téléphone en péril.
Dans son blog, Drake explique que l'approche la plus vulnérable face à un téléphone Android consiste à utiliser un navigateur Web. Il existe trois manières différentes pour un pirate informatique de tirer avantage du bogue de sécurité.
Premièrement, un attaquant pourrait essayer d'amener un utilisateur Android à visiter une URL qui mènerait réellement à un site Web contrôlé par l'attaquant. Cela pourrait être fait sous la forme d'une campagne publicitaire, par exemple. Une fois attiré, la victime serait exposée au fichier MP3 ou MP4 infecté.
Dans le même ordre d'idées, un attaquant pourrait utiliser une application tierce, comme un lecteur multimédia. Dans ce cas, il s’agit de l’application qui contiendrait l’un de ces fichiers malveillants.
Mais il existe une troisième possibilité pour un pirate informatique qui emprunte une autre voie.
Dites, le pirate informatique et l'utilisateur Android utilisent le même WiFi. Le pirate informatique n’aurait alors plus besoin de tromper l’utilisateur pour qu’il visite une URL ou ouvre une application tierce. Au lieu de cela, il leur suffirait d'injecter l'exploit dans le trafic réseau non chiffré de l'utilisateur utilisé par le navigateur.
Le bogue original de Stagefright - qui avait également été découvert par Drake plus tôt cette année - a ouvert les téléphones Android à la vulnérabilité par le biais de messages texte contenant des logiciels malveillants.
Si un pirate informatique connaissait votre numéro de téléphone, un message texte contenant un fichier multimédia illicite pourrait être envoyé. Le texte pourrait alors permettre à un pirate d’accéder aux données et aux photos d’un utilisateur, voire à des fonctions telles que l’appareil photo ou le microphone du téléphone.
Les utilisateurs pourraient être touchés et même pas le savoir.
Un correctif a été publié pour le bogue Stagefright original peu de temps après la découverte de la vulnérabilité.Il y a cependant eu quelques problèmes avec le correctif. Certains rapports ont indiqué que le correctif peut entraîner une panne des téléphones lorsqu'un message multimédia est ouvert.
Drake a déclaré avoir averti Android de la menace et indiqué qu'Android avait rapidement pris des mesures correctives, bien qu'il lui reste encore à fournir un numéro CVE pour suivre ce dernier problème. Google publie un correctif pour Stagefright dans le Nexus Security Bulletin paru cette semaine.
Si vous ne savez pas si votre appareil Android est vulnérable, vous pouvez télécharger l'application Zimperium Inc. Stagefright Detector pour rechercher des vulnérabilités.
Android Lollipop Photo via Shutterstock
Plus dans: Google 2 Commentaires ▼
