Une nouvelle faille de sécurité vient d’être trouvée au sein du serveur multimédia d’Android. La faille touche l’ensemble des terminaux sous Android, de la version 2.3 à la version 5.1.1. Elle est en fait assez similaire à la faille Stagefright.

StageFright

Cet été, les failles sous Android se suivent à la queue leu leu. Tout a commencé avec Stagefright, l’une des plus graves failles de sécurité découverte sous Android (plus particulièrement le serveur multimédia) et touchant environ 95 % des terminaux. Les experts en sécurité ont rapidement proposé un patch correctif. Google et les constructeurs ont alors commencé à mettre à jour le parc de terminaux, mais rapidement, un autre expert a découvert une faille au sein des patchs censés corriger la faille initiale. TrendMicro a ensuite trouvé une autre faille au sein du serveur multimédia, capable de bloquer un terminal. Quelques jours plus tard, le serveur multimédia était encore sous le feu des projecteurs avec une faille capable de faire redémarrer en boucle le téléphone. Il y a quelques jours, une énième faille a été repérée, toujours par TrendMicro, et toujours dans le code source du serveur multimédia.

Cette nouvelle faille (CVE-2015-3842) touche plus particulièrement le composant AudioEffect du serveur multimédia. Elle permet à un pirate d’avoir les accès du serveur multimédia et donc la prise de photos, de vidéo et la lecture des fichiers vidéos. Il suffit que l’utilisateur installe une application spécifiquement développée pour l’occasion, mais qui ne réclame aucune autorisation, laissant penser à une application inoffensive. Une fois que celle-ci est installée, le pirate peut agir à distance.

 

Une faille à relativiser, mais qui pose des questions

Cette nouvelle faille est donc moins grave que les précédentes failles, puisqu’il faut que l’utilisateur télécharge un logiciel malveillant. Les autres failles étaient plus faciles à exploiter, nécessitant seulement l’utilisation de vidéos, téléchargées sur le terminal de l’utilisateur par MMS ou via un site web. Toutefois, cette nouvelle faille prouve que le serveur multimédia est très peu sécurisé, alors qu’il est intégré à Android depuis la fin de l’année 2010. Les failles existent depuis de nombreuses années, mais sont découvertes ces jours-ci puisque l’ensemble des experts en sécurité (et des pirates) a les yeux rivés sur le code source du serveur multimédia. Le risque est, maintenant, que les pirates réussissent à utiliser facilement ces failles. Les mises à jour de sécurité sont donc attendues de pied ferme.