Plusieurs mois après Stagefright, les utilisateurs d’Android commençaient à s’apaiser, mais c’était sans compter sur NorthBit et leur nouvel exploit, baptisé Metaphor, se basant sur cette librairie multimédia. De quoi effrayer encore plusieurs millions d’utilisateurs.

StageFright

L’été dernier, la société Zimperium dévoilait Stagefright, une faille Android touchant 95 % des terminaux et permettant aux esprits malicieux de récupérer les données d’un appareil à distance. Après cet évènement, Google a rapidement déployé des patchs de sécurité afin de solidifier les défenses de son système, et a mis en place un système de mises à jour mensuelles permettant de corriger plus rapidement ce genre de problème. Cela n’a pas empêché l’apparition de Stagefright 2.0 en octobre ni celle de Metaphor, tout juste découverte.

Metaphor is the new Stagefright

La société de recherche logicielle israélienne NorthBit vient de publier un compte-rendu de ses recherches autour de Metaphor, un nouvel exploit basé sur Stagefright. Le principe de cette manipulation consiste à créer un buffer overflow, c’est-à-dire un débordement de la mémoire tampon, afin d’accéder à d’autres zones de l’appareil. Sa principale force consiste à contourner l’ASLR (Adress Space Layout Randomization) intégré depuis Android 5.0 Lollipop et qui permet de rendre ces débordements inexploitables en empêchant les hackers de prédire le nouvel adressage grâce à un système aléatoire. Aussi, NorthBit annonce pouvoir attaquer aussi bien les terminaux sous Android 2.2 à 4.0 que ceux sous Android 5.0 à 5.1.

À l’aide d’un fichier malicieux au format MPEG-4, NorthBit est donc capable de récupérer de nombreuses informations sur l’appareil de l’utilisateur, et ce même si le fichier en question n’est pas lancé. En effet, il suffit que le fichier soit « analysé » afin que le téléphone récupère ses métadonnées (longueur, nom de l’artiste, titre, sous-titres, etc.). Cela peut donc aussi bien passer par le simple affichage d’un site web, d’une publicité (via les balises <script> et <iframe> uniquement), ou encore en scannant un QR Code ou en se connectant à un Wi-Fi gratuit. Les MMS, les médias intégrés sur un blog ou un forum (comme une vidéo YouTube) et les messageries instantanées comme WhatsApp, Telegram, Skype ou Facebook Messenger sont de leur côté hors de cause.

Afin de démontrer la rapidité de cet exploit, NorthBit a mis en ligne sur YouTube une vidéo dans laquelle un Nexus 5 sous Android 5.0.1 se fait pirater seulement 15 secondes après avoir ouvert un lien. Il est indiqué que ce temps peut aller jusqu’à 2 minutes.

Lien Youtube
Chaine Youtube FrAndroid

Des millions d’appareils touchés

Si l’on en croit le dernier recensement effectué par Google, cette faille toucherait donc environ 41 % des terminaux Android en cours de fonctionnement, dont 36,1 % tournent sous Lollipop, la version la plus répandue à l’heure actuelle. Fort heureusement, pour contourner l’ASLR, il est nécessaire de connaître un certain nombre d’informations sur l’appareil et sa ROM. Cet exploit a donc été testé sur Nexus 5, HTC One, LG G3 et Samsung Galaxy S5, mais le rendre universel demanderait de créer une base de données à partir de chaque ROM de chaque appareil présent dans la nature.

Contacté par Wired, Google n’a pas encore réagi à ce sujet.