Une équipe de chercheurs de Zimperium vient d’annoncer la découverte d’une faille de sécurité touchant la plupart des appareils sous Android actuellement. On ne parle pas ici d’un malware provenant d’une application hors du Play Store par exemple, mais de la possibilité de déclencher l’exécution d’un code via un simple MMS.
La faille de sécurité se trouve en fait dans Stagefright, une bibliothèque Android qui s’occupe de la prise en charge de certains formats multimédia. Chaque fois qu’ils sont repérés dans un message,une page web ou une application par exemple, la bibliothèque est appelée pour lire et traiter la photo ou la vidéo contenue à l’intérieur. Ainsi, si elle contient un code particulier, la voie est ouverte à un malware puisque le travail de Stagefright se fait avant même la lecture. Cela pourrait même ne laisser aucune trace de l’attaque puisque, par exemple, des pirates pourraient envoyer un MMS contenant à la fois le code du malware et une séquence d’instructions pour supprimer le message.
Selon l’équipe de chercheurs de Zimperium, il s’agirait du problème de sécurité le plus important jamais découvert puisque cela pourrait toucher potentiellement 95 % des utilisateurs Android, soit 950 millions de personnes. Cette faille serait pire que Heartbleed, puisque toutes les versions d’Android sont touchées à partir de la 2.2, celles avant la 4.3 étant plus vulnérables, car les privilèges accordés au code lu par Stagefright sont plus importants.
Des correctifs au code d’Android ont déjà été apportés par Google, mais il faudra encore quelque temps avant que ceux-ci soient déployés pour les différents appareils. Google indique d’ailleurs dans un communiqué que les différents partenaires sont informés et que des mises à jour devraient sortir « dans les prochaines semaines ou les prochains mois ». Mais qu’en sera-t-il des appareils qui ont plus de 18 mois par exemple ?
Il faudra voir également du côté des différentes versions dérivées d’Android quand cela sera implémenté. On sait déjà que les utilisateurs de CyanogenMod 11 recevront une mise à jour dès cette fin de semaine par exemple (les autres versions devront encore attendre) tandis que le Blackphone de SilentCircle a déjà déployé une mise à jour 1.1.7 du système d’exploitation PrivatOS contenant les correctifs. Enfin, du côté des applications, peu de développeurs ont communiqué, mais Mozilla indique que la version 38 de Firefox a déjà intégré des correctifs.
À noter qu’une vidéo de démonstration sera publiée plus tard dans la semaine par les chercheurs de Zimperium tandis qu’un code d’exploitation serait fourni à la Black Hat, en même temps qu’un patch en open source.