Le conseil en sécurité Zimperium, qui avait déjà découvert la faille de sécurité Stagefright en avril, vient de dévoiler l’existence de Stagefright 2.0.
Stagefright mettait en danger jusqu’à 950 millions d’utilisateurs de smartphones ou de tablettes Android, avec l’envoi d’un simple MMS.
Stagefright 2.0 pourrait être tout aussi dangereuse.
Il s’agit de deux vulnérabilités qui pourraient se manifester lors de l’utilisation au format MP3 ou de vidéos au format MP4, avec des fichiers spécialement conçus.
La première vulnérabilité, CVE-2015-6602, se trouve dans libutils et affecte pratiquement tous les appareils sous Android depuis son lancement en 2008.
La seconde vulnérabilité, dans libstagefright, affecte au minimum les versions 5.0 et supérieures du système d’exploitation mobile.
L’exploitation de ces vulnérabilités permet de lancer n’importe quel fichier exécutable à distance.
Comme la faille de sécurité concerne les métadonnées des fichiers multimédias, il n’est même pas la peine de lire un fichier MP3 ou MP4 pour l’activer : un simple aperçu des fichiers suffira. On peut donc imaginer plusieurs scénarios d’infection : hameçonnage, campagne de publicité malveillante, attaque de l’homme du milieu, applications tierces vulnérables comme des lecteurs média, des messageries instantanées, etc.
Zimperium a notifié l’Android Security Team de Google le 15 août 2015. Malgré l’embargo sur les informations, Google a presque immédiatement envoyé le code source du correctif de sécurité pour la première vulnérabilité à l’Android Source Project. Ce qui pourrait représenter un danger pendant quelques semaines, dans la mesure où les pirates scannent toujours les codes sources ouverts à la recherche de vulnérabilités non corrigées.
Le correctif n’est attendu que pour le prochain Nexus Security Bulletin la semaine prochaine.
Le mode de distribution des correctifs et le fractionnement du monde Android font que tous les utilisateurs n’auront pas accès au correctif.
| Version | Nom de code | API | Distribution |
|---|---|---|---|
| 2.2 | Froyo | 8 | 0.2% |
| 2.3.3 – 2.3.7 |
Gingerbread | 10 | 4.1% |
| 4.0.3 – 4.0.4 |
Ice Cream Sandwich | 15 | 3.7% |
| 4.1.x | Jelly Bean | 16 | 12.1% |
| 4.2.x | Jelly Bean | 17 | 15.2% |
| 4.3 | Jelly Bean | 18 | 4.5% |
| 4.4 | KitKat | 19 | 39.2% |
| 5.0 | Lollipop | 21 | 15.9% |
| 5.1 | Lollipop | 22 | 5.1% |
Nombre d’appareils utilisant Android au 7 septembre 2015. Source : Android Developers
Comme Android 6.0 sort la semaine prochaine, on ne sait pas si Google ne fournira un correctif que pour les versions 5 et 5, ou si les versions précédentes très utilisées, comme la 4.4 en obtiendront un ici. Google a malheureusement pour politique de ne fournir de correctifs de sécurité que pour les versions les plus récentes d’Android.
Du coup, entre 40 et 80 % des appareils Android pourraient ne jamais recevoir le correctif de sécurité.