Un simple JPEG peut pirater votre smartphone Android

Un chercheur a trouvé une faille critique dans la gestion des données Exif, permettant d’infecter le terminal sans aucune action de l’utilisateur. Une autre faille critique a été détectée dans la conversion de caractères Unicode. Les deux exploits ont été colmatées depuis.

Google vient de combler deux failles particulièrement critiques sur Android, comme on peut le voir dans le dernier bulletin de sécurité Android. La première (CVE-2016-3862) a été trouvée par Tim Strazzere, un chercheur en sécurité de la société SentinelOne. L’envoi d’une simple image JPEG sur un client email ou sur une messagerie instantanée suffit pour l’exploiter et, le cas échéant, exécuter du code arbitraire. La faille se trouvait au niveau de la librairie « ExifInterface », utilisée pour accéder aux métadonnées Exif des images.

Tim Strazzere a pu la vérifier pour les applications Gmail et Gchat (comme il appelle l'application de messagerie instantanée de Google). Pour provoquer l’infection, aucune action de l’utilisateur n’est requise. « Vous n’avez pas besoin de cliquer sur l’image ou de toucher la pièce jointe. Il suffit d’ouvrir l’email », explique-t-il auprès de Threatpost.com. Cette vulnérabilité affecte toutes les versions Android supérieures à 4.2. Elle fait beaucoup penser à la fameuse faille Stagefright de juillet 2015, qui permettait de pirater un smartphone Android par l’envoi d’un simple MMS.

Des chaînes de caractères à haut risque

La seconde faille critique (CVE-2016-3861) a été trouvée par Marc Brand, un ingénieur de Google Project Zero. Elle se trouvait dans une librairie appelée « libutils » et permettait, le cas échéant, l’exécution de code arbitraire ou l’élévation de privilèges. Le problème se situait, plus précisément, au niveau d’une fonction qui gère la conversion de chaînes de caractères Unicode, et qui est utilisée dans de nombreuses autres librairies. La surface d’attaque est donc potentiellement assez large et peut couvrir « tous les terminaux Android », comme le souligne Marc Brand dans une note de blog. Il faut juste trouver un vecteur d’attaque, c’est-à-dire une application qui utilise à un moment donnée cette fameuse conversion Unicode, puis faire en sorte qu’elle tombe sur une chaîne de caractères susceptible de provoquer le bug. A titre de démonstration, Marc Brand a réalisé une exploitation de cette faille en s’appuyant sur les métadonnées ID3 de fichiers MP3.

Google a colmaté ces deux failles critiques - ainsi que 17 autres moins importantes - dans une mise à jour d’Android. Le problème, comme toujours, c’est que cette mise à jour peut mettre du temps à se diffuser auprès des utilisateurs. Tout dépend de la vélocité du fabricant et/ou de l’opérateur. Il est donc fort probable que des millions d’utilisateurs sont toujours, à l’heure actuelle, vulnérables à ces deux failles.