Trend Micro vient d’annoncer sur son blog la découverte d’une nouvelle faille de sécurité sous Android. Touchant le serveur multimédia (Stagefright), la faille permettrait à un pirate de bloquer complètement un terminal afin de demander une rançon au mobinaute pour débloquer l’appareil.

Android crash

Après RCSAndroid et Stagefright, une nouvelle faille de sécurité vient d’être découverte sous Android. Avant d’entrer dans les détails, signalons tout de suite que cette faille n’est pas très dangereuse, mais Trend Micro a tout de même souhaité la rendre publique, semble-t-il, face à l’inaction de Google. La faille touche tous les appareils sous Android, de la version 4.3 Jelly Bean à la version 5.1.1 Lollipop. Elle a été rapportée en mai par l’entreprise spécialisée dans la sécurité informatique et le code source d’AOSP n’a pas encore été modifié puisque Google considère la faille comme une vulnérabilité de faible priorité. Dans les faits, le géant de Mountain View n’a pas vraiment tort.

La faille touche le serveur multimédia d’AOSP (qui porte le nom de Stagefright), mais le « bug » n’a pas été trouvé au même endroit que les chercheurs de l’entreprise Zimperium. Ici, le serveur multimédia va planter à chaque fois qu’il tentera d’indexer un certain fichier MKV créé de toute pièce par des pirates. Lorsque le serveur va planter, l’ensemble du système d’exploitation se figera quelques instants, en attendant que le serveur se relance. Avec une application se lançant automatiquement au démarrage et forçant la lecture d’un MKV spécial, des pirates pourraient bloquer totalement l’appareil, qui planterait alors indéfiniment, comme on peut le voir dans la vidéo ci-dessous. Les plus bidouilleurs réussiront à réinitialiser l’appareil avec une connexion ADB, mais les utilisateurs lambda se retrouveront face à une brique.

Lien Youtube
Chaine Youtube FrAndroid

Trend Micro imagine alors que des personnes mal intentionnées puissent réclamer une rançon aux mobinautes dont le terminal est bloqué, sous forme de chantage, en échange de la technique pour débloquer le téléphone. Pour se protéger de ce type de menaces, la société recommande d’utiliser ses solutions de sécurité qui peuvent être gratuites ou payantes. Comme le fait remarquer sur Twitter Joshua Drake, à l’origine de la découverte de la faille Stagefright, Trend Micro a rendu publique une faille peu dangereuse, qui se contente de faire planter le système. L’entreprise japonaise a-t-elle souhaité surfer sur la faille Stagefright pour se faire un peu de publicité ou s’inquiète-t-elle réellement de la sécurité des utilisateurs ? Difficile à dire tant les entreprises de sécurité ont un rôle délicat, entre la protection des mobinautes et la recherche du bénéfice. Le risque étant, à terme, de faire peur aux utilisateurs pour des menaces peu dangereuses qui auraient dû rester dans le milieu de la sécurité.