Sécurité : la faille Stagefright de retour, 36% des utilisateurs Android menacés

Corrigée à la fois du côté de Google et des constructeurs, la faille Stagefright qui avait fait tant parler d'elle l'été dernier fait son grand retour. Un nouvel exploit du nom de Metaphor vient d'être mis au point et menace pas moins de 36% des utilisateurs Android.

Alors que Google semblait avoir fait le nécessaire pour protéger les utilisateurs de la faille Stagefright puis de Stagefright 2.0, il semblerait que toutes les versions de l'OS n'aient pas encore été patchées à 100%. Les chercheurs de NorthBit viennent de mettre au point un nouvel exploit du nom de Metaphor destiné à pirater les appareil tournant sous les versions 2.2, 4.0, 5.0 et 5.1 d'Android.

Un exploit qui permet de contourner l'espace d'adressage (ASLR), processus permettant de protéger la mémoire présent sur les versions 5.0 et 5.1 mais pas sur les versions 2.2. et 4.0. Ceci dit, sachant que 36% des terminaux du parc tournent encore sous Lollipop, c'est plutôt effrayant.

Concrètement, Stagefright est une bibliothèque logicielle écrite en C++ incluse au sein de l'OS de Google. Elle est susceptible d'être exploitée par l'envoi d'un message contenant un fichier vidéo codé de façon à activer un code malveillant lors de sa réception. De son côté, Stagefright 2.0 permet de faire la même chose mais avec des fichiers MP3 et MP4.

En exploitant de nouveau cette faille par le biais de Metaphor, les chercheurs de NorthBit sont parvenus à obtenir un accès complet aux fichiers de l'appareil de façon à pouvoir les copier et les supprimer à leur guise ainsi qu'à la caméra et au microphone. Un hack susceptible d'être réalisé sur des millions de smartphones. NorthBit déclare d'ailleurs que la faille Stagefright est la « pire jamais découverte » sur Android.

Le hack a été testé avec succès sur le Nexus 5, le HTC One, le Samsung Galaxy S5 et le LG G3. Dans la vidéo de démonstration ci-dessous, vous pouvez observer l'attaque en temps réel sur le Nexus 5.

https://youtu.be/I507kD0zG6k

Voir les commentaires
Ailleurs sur le web