Cette faille peut compromettre n'importe quel smartphone Android avec un simple fichier MP3










Une faille dans le système d’exploitation mobile permet de prendre le contrôle de n’importe quel terminal Android, depuis la version 1.0. Aucun patch n’est disponible pour l’instant.

Vous vous rappelez certainement de la faille Stagefright, qui permettait de prendre le contrôle d’un smartphone Android par le simple envoi d’un MMS. Les chercheurs de Zimperium, qui avaient présenté cette trouvaille en juillet dernier, viennent de présenter une nouvelle attaque du même genre, presque aussi terrifiante. Baptisée Stagefright 2, elle permet de pirater à distance un terminal Android par le biais d’un fichier MP3 ou MP4. Il suffit que l’utilisateur démarre la lecture d’un tel fichier multimédia infecté.


Le vecteur d’attaque peut être multiple. Le pirate peut essayer d’orienter l’utilisateur vers un site infecté par une méthode de phishing. S’il se trouve sur le même réseau que la cible, il peut également envoyer son fichier piégé par une injection de type « Man in the middle ». Enfin, on peut également imaginer la diffusion d’applis piégées sur des boutiques applicatives.


Deux approches techniques

Sur le plan technique, le pirate pourra façonner son exploit de deux façons différentes : soit en utilisant une faille dans la librairie « libstagefright », soit en s’appuyant sur une faille dans la librairie « libutils ». La première méthode est possible sur tous les smartphones sous Android 5.0 ou supérieur.


La seconde n’est possible que si le terminal utilise la partie vulnérable de la librairie « libutils », par exemple par le biais « d’applis tierces ou de fonctionnalités préchargées sur le téléphone par le constructeur ou l’opérateur », précise Zimperium. Par contre, cette méthode a l’avantage d’atteindre toutes les autres versions d’Android. Potentiellement, Stagefright 2 représente donc un risque pour l'ensemble des terminaux Android !


Les chercheurs ne vont pas mettre en ligne de preuve de concept pour grand public, mais compte en diffuser une à leurs partenaires d’ici à la fin octobre. Par ailleurs, ils vont mettre à jour l’application « Stagefright Detector » dès que Google aura publié un patch. D’ici là, attention aux fichiers MP3/MP4.