Durant la conférence Black Hat, Joshua Drake a exposé les détails techniques sur la faille Stagefright qui toucherait 95 % du parc de terminaux sous Android. L’homme a révélé de nombreuses informations qui étaient jusqu’alors inconnues. Au final, la manière dont sont gérées les mises à jour sous Android est l’élément le plus dangereux de l’affaire.

Joshua Drake

Vous avez sûrement dû entendre parler de Stagefright, la grave faille de sécurité sous Android qui a fait réagir de nombreux acteurs, de Google aux constructeurs en passant par les opérateurs et les experts en sécurité. Joshua Drake, à l’origine de la découverte (en passant 3 semaines à étudier le code pour ensuite proposer des patchs à Google) est revenu sur les détails techniques de la faille lors de la conférence Black Hat. Pour rappel, les différentes failles (une dizaine) ont toutes été trouvées au sein de la bibliothèque Stagefright présente dans le code source d’AOSP mais également Firefox et Firefox OS. Son rôle est de lire les fichiers multimédias comme les vidéos et les fichiers audio. Mais grâce aux failles, il est possible pour un pirate d’avoir un accès root à la machine, avec un seul fichier vidéo.

 

Un piratage possible malgré les diverses protections

Lors de la conférence, l’expert en sécurité a donné quelques détails supplémentaires sur l’exploit. Tout d’abord, comme on le savait déjà, la bibliothèque ne dispose pas d’un accès root à la machine. Toutefois, il est possible pour les pirates de procéder à une escalade des privilèges avec les failles, afin d’obtenir l’accès root, capable de tout réaliser sur la machine. Pour atténuer cette possibilité, Google a introduit avec Android 4.0 Ice Cream Sandwich la fonctionnalité ASLR (Address space layout randomization) pour éviter les dépassements de tampon capables d’être utilisés par les pirates. Toutefois, ce genre de fonctionnalités rendent plus difficile le travail des pirates, mais pas impossible. Ainsi, Joshua Drake a réussi à réaliser son exploit sous Android 2.3 mais également 4.0, censé être davantage protégé. L’homme a précisé que la faille devrait être assez facilement exploitable sur les autres versions de l’OS, avec un peu plus d’analyse de la part du pirate.

Android Stagefright AOSP

L’expert a également pointé du doigt certains constructeurs qui modifient le code source d’AOSP et qui rendent encore plus vulnérables leurs terminaux à une attaque. On ne sait toutefois pas quels sont les OEM visés. À l’inverse, pour les terminaux les mieux protégés, l’attaque restera possible, mais il sera beaucoup plus difficile – voire impossible – d’avoir un accès root. Pour ces terminaux, les pirates pourront toujours réaliser de nombreuses actions dangereuses comme prendre des photos, se les envoyer par Internet, voire espionner les conversations téléphoniques grâce au microphone et au son entrant.

 

Les MMS, l’un des principaux moyens de l’attaque

Pour l’exploitation des failles, on a beaucoup parlé des MMS. C’est en effet l’une des méthodes les plus simples pour répandre rapidement et facilement un ver qui pourrait espionner des milliers de terminaux. C’est en fait à cause du comportement de Hangouts et du logiciel de gestion des SMS par défaut sous Android : à la réception d’un MMS vidéo, la bibliothèque Stagefright traite le fichier, même avant sa lecture. Il est alors trop tard, le pirate est déjà entré dans le terminal. C’est pour cette raison qu’il est recommandé de désactiver la réception automatique des MMS. Mais imaginez qu’une personne dans vos contacts soit touchée par la faille : elle va vous envoyer (sans s’en apercevoir) un MMS vérolé que vous allez ouvrir. Dans ce cas, il n’existe, pour le moment, aucune protection pour la majorité des terminaux. Toutefois, l’exploit n’a pas encore été repéré dans la nature. Les MMS permettraient également aux pirates de réaliser un envoi en masse, pour véroler de nombreux terminaux. Dans ce cas, les opérateurs pourraient toutefois intervenir, s’ils se rendent compte d’un comportement étrange sur leur réseau.

[ytpub:PxQc5gOHnKs]

 

WhatsApp et les navigateurs aussi touchés

Mis à part les MMS, la faille peut être activée par de nombreuses manières. Une autre méthode simple est l’envoi d’une vidéo par une application de messagerie instantanée telle que WhatsApp. Celle-ci utilise en effet forcément la bibliothèque Stagefright pour lire la vidéo. Pire, à la manière d’Hangouts, WhatsApp crée une miniature de la vidéo, même si elle n’a pas encore été lu, permettant aux pirates d’avoir accès au terminal. Les pirates peuvent également passer par le navigateur, en forçant la lecture d’une vidéo ou son téléchargement, deux actions qui déclenchent la faille. Le risque est particulièrement élevé, puisqu’il est facile, dans les méandres d’Internet, de se retrouver en un instant, ou en une pop-up, sur un site qu’on ne voulait pas connaître.

 

Les manières de se protéger

Pour se protéger, il n’y a pas beaucoup de méthodes disponibles pour le moment comme nous l’avions vu dans un article dédié. On conseillera de désactiver le chargement automatique des MMS, voire leur réception pour les plus paranos. On conseille aussi de désactiver le chargement automatique des vidéos dans les logiciels de messagerie instantanée comme WhatsApp ou Telegram. Le navigateur Firefox depuis sa version 38 ne semble pas touché par les failles, et on conseillera alors son utilisation, avec des pincettes, puisqu’il passe toujours par la bibliothèque Stagefright. Enfin, le mieux est de patcher la bibliothèque Stagefright pour supprimer le risque potentiel. Pour cela, il faudra attendre les mises à jour des constructeurs. Google propose des images factory exemptes des failles alors que Samsung, LG et Alcatel One Touch vont bientôt proposer des mises à jour OTA. CyanogenMod CM12.0 et 12.1 sont protégés depuis quelques semaines déjà. Pour les autres, patience, il existe un outil pour savoir si votre terminal est touché par la faille ou non. Selon les premiers retours, même avec un appareil à jour, l’outil indique que celui-ci est touché par le bug. Étrange.

 

Un problème inhérent à Android

On voit là l’un des principaux soucis sous Android : le déploiement des mises à jour. Contrairement à Windows Phone et iOS, les mises à jour sont envoyées aux constructeurs qui adaptent le code source à leur produit. Ensuite, ces derniers envoient directement la mise à jour aux utilisateurs les plus chanceux : ceux qui ont acheté leur mobile nu et débloqué. Parallèlement, le constructeur envoie la mise à jour aux opérateurs, qui réalisent ensuite un travail de validation et de certification pour enfin lancer le déploiement sur les terminaux des clients ayant acheté un terminal chez l’opérateur. C’est pour cette raison qu’Android Lollipop représente à peine 18 % du parc des terminaux sous Android plus de 10 mois après sa sortie. La faille Stagefright aura eu le mérite de faire bouger les choses puisque Google a annoncé des mises à jour de sécurité mensuelles pour les Nexus, tout comme Samsung et LG. Bonne nouvelle : celles-ci n’auront pas besoin d’être certifiées par les opérateurs. Toutefois, de nombreux terminaux resteront à jamais vulnérables à cette faille puisqu’ils ne seront jamais mis à jour. Google a en effet parlé de plus d’une centaine de terminaux qui allaient être mis à jour, contre environ 24 000 modèles différents de produits existants sous Android. Mais Google a les poings liés, en ayant autorisés les OEM a ajouter leur interface sur Android, et donc empêcher toute mise à jour automatique, hormis les mises à jour de sécurité bien que les constructeurs doivent la valider.

Capture d’écran 2015-08-07 à 16.57.48

La répartition des versions d’Android