Les chercheurs en sécurité de l’entreprise Zimperium ont trouvé dans le code source d’Android Open Source Project (AOSP) une importante faille de sécurité. Grâce à celle-ci, des personnes mal intentionnées peuvent créer un trojan capable de prendre le contrôle de l’appareil à distance de manière totalement silencieuse.

Stagefright

Mise à jour du 28/07/2015 à 10h : le site NPR précise que la faille est encore plus grave si l’utilisateur utilise par défaut l’application Hangouts, qui traite la vidéo automatiquement sans que l’utilisateur ait besoin d’ouvrir le MMS. Le logiciel par défaut Android dispose, quant à lui, d’un comportement différent puisqu’il faut que l’utilisateur ouvre le MMS – sans avoir besoin de jouer la vidéo contenue à l’intérieur – pour être infecté.

Après RCSAndroid le trojan de la Hacking Team, une nouvelle faille de sécurité extrêmement grave vient d’être trouvée dans le code source d’AOSP par les chercheurs en sécurité de l’entreprise Zimperium. Plus exactement, la faille a été trouvée dans la bibliothèque multimédia Stagefright utilisée pour la lecture de fichiers multimédia sur les smartphones et tablettes. Cette bibliothèque a été développée en C++ et non en Java, ce qui explique la gravité de la faille, puisque ce langage de programmation peut plus facilement créer une vulnérabilité grâce à corruption de la mémoire vive pour permettre à un attaquant d’exécuter du code. Dans le cas présent, l’ensemble des terminaux Android à partir de la version 2.2 du système jusqu’à Android 5.x Lolliop est vulnérable, représentant alors plus de 950 millions d’appareils.

Dans les faits, il suffit, pour l’attaquant, d’envoyer un MMS spécialement conçu pour comporter un code malveillant. Le plus dangereux, c’est que l’attaquant est capable d’effacer le MMS avant même que l’utilisateur ne le voie. En revanche, il semble qu’il soit impossible pour l’attaquant d’effacer les notifications. Même si le MMS a été effacé, le seul fait qu’il ait été reçu active le code malveillant. L’attaquant peut ensuite écouter le microphone, voler les fichiers, lire les e-mails et récupérer des informations personnelles.

Joshua J. Drake, à l’origine de la découverte, a partagé les informations avec Google, qui a modifié le code source d’AOSP en moins de 48 heures pour proposer un correctif. Certains constructeurs ont d’ores et déjà proposé un correctif à leurs utilisateurs finaux, à l’image de SilentCircle pour son Blackphone avec PrivatOS 1.1.7 et Mozilla avec Firefox 38 qui était également touché par la faille auparavant. Il faut maintenant que l’ensemble des constructeurs propose une mise à jour pour les smartphones et tablettes, mais malheureusement, on se doute que rares seront les terminaux à être mis à jour rapidement. Pourtant, le temps presse puisque la faille sera publiquement dévoilée lors de la conférence Black Hat le 5 août prochain et à la DEF CON le 7 août.