Totalement inopérant, bon pour servir de presse papier. Voilà ce que pourrait devenir votre smartphone sous Android si une faille de l’OS de Google était utilisée contre lui. Le géant américain n’a pour l’instant pas patché la vulnérabilité.
Un écran noir, désespérément noir. Un smartphone qui ne fonctionne plus, ne sonne plus, n’est plus capable de passer un appel. Un appareil plongé dans un état végétatif numérique.
C’est ce que d’écrit Wish Wu, un chercheur en sécurité pour Trend Micro qui a découvert une vulnérabilité dans Android, qui touche les versions 4.3 (Jelly Bean) à 5.1.1 (Lollipop). Ce qui représente un peu plus de la moitié du parc installé des machines qui utilisent le système d’exploitation de Google.
DoS local
La faille en question réside dans l’outil d’indexation du service de serveur media d’Android, qui liste tous les fichiers multimédias présents sur la tablette ou le smartphone. Il semblerait que cet outil ne soit pas capable de gérer un fichier vidéo MKV « mal formé » ce qui provoquerait une sorte d’attaque en déni de service local, un buffer overflow.
Dès lors, l’outil planterait entraînant avec lui tout le système d’exploitation. Android serait en effet alors incapable de produire le moindre son, en cas d’appel, de réception de SMS ou d’une notification. D’ailleurs, même s’il était averti l’utilisateur ne pourrait pas accepter l’appel, explique Wish Wu. Par ailleurs, l’interface deviendrait extrêmement lente ou totalement bloquée. Ce scénario catastrophe peut être encore plus désespéré. Car si la faille est exploitée alors que le téléphone est verrouillé, il ne pourra plus être déverrouillé.
La preuve en vidéo
Le chercheur de la société japonaise précise qu’il y a deux méthodes pour utiliser cette vulnérabilité. La première est de faire en sorte que son utilisateur se rende sur un site Web compromis. Dans ce cas, redémarrer le smartphone pourrait suffire. La seconde implique l’utilisation d’une application malicieuse. Cette dernière solution est la plus dangereuse. Car elle peut bloquer à nouveau le smartphone après un redémarrage. Le rendant « définitivement » incapable de fonctionner correctement.
Wish Wu a d’ailleurs réalisé une petite vidéo montrant l’exploitation de la faille depuis une application…
Video
https://youtu.be/gjn5QTaQ0fk
Reply With Quote