Jump to content

Cette faille peut compromettre n'importe quel smartphone Android avec un simple fichier MP3


mk78

Recommended Posts

Cette faille peut compromettre n'importe quel smartphone Android avec un simple fichier MP3

 

e106729720346d75a1714922f9638.jpg&key=818717a27fe544cb8ad8f91ee1035c9161a7d9b7a6f355f3a0882ba834e9f397

 

 

DR

 

 

 

Une faille dans le système d’exploitation mobile permet de prendre le contrôle de n’importe quel terminal Android, depuis la version 1.0. Aucun patch n’est disponible pour l’instant.

 

Vous vous rappelez certainement de la faille Stagefright, qui permettait de prendre le contrôle d’un smartphone Android par le simple envoi d’un MMS. Les chercheurs de Zimperium, qui avaient présenté cette trouvaille en juillet dernier, viennent de présenter une nouvelle attaque du même genre, presque aussi terrifiante. Baptisée Stagefright 2, elle permet de pirater à distance un terminal Android par le biais d’un fichier MP3 ou MP4. Il suffit que l’utilisateur démarre la lecture d’un tel fichier multimédia infecté.

 

Le vecteur d’attaque peut être multiple. Le pirate peut essayer d’orienter l’utilisateur vers un site infecté par une méthode de phishing. S’il se trouve sur le même réseau que la cible, il peut également envoyer son fichier piégé par une injection de type « Man in the middle ». Enfin, on peut également imaginer la diffusion d’applis piégées sur des boutiques applicatives.

 

Deux approches techniques

Sur le plan technique, le pirate pourra façonner son exploit de deux façons différentes : soit en utilisant une faille dans la librairie « libstagefright », soit en s’appuyant sur une faille dans la librairie « libutils ». La première méthode est possible sur tous les smartphones sous Android 5.0 ou supérieur.

 

La seconde n’est possible que si le terminal utilise la partie vulnérable de la librairie « libutils », par exemple par le biais « d’applis tierces ou de fonctionnalités préchargées sur le téléphone par le constructeur ou l’opérateur », précise Zimperium. Par contre, cette méthode a l’avantage d’atteindre toutes les autres versions d’Android. Potentiellement, Stagefright 2 représente donc un risque pour l'ensemble des terminaux Android ! 

 

Les chercheurs ne vont pas mettre en ligne de preuve de concept pour grand public, mais compte en diffuser une à leurs partenaires d’ici à la fin octobre. Par ailleurs, ils vont mettre à jour l’application « Stagefright Detector » dès que Google aura publié un patch. D’ici là, attention aux fichiers MP3/MP4.

 

Source :

 

Zimperium

  • Like 1
Link to comment
Share on other sites

×
×
  • Create New...