All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Par Laurent LaSalle – le dans Actualités
Alors que les utilisateurs d'Android peinent encore à se rétablir du premier Stagefright, une nouvelle souche vient d'être découverte. La sécurité de la majorité des appareils Android est ainsi compromise une fois de plus.

Zimperium, la firme de sécurité ayant levé le voile sur Stagefright en juillet dernier, a malheureusement de bien mauvaises nouvelles pour les propriétaires d’appareils Android. En effet, en poursuivant leurs recherches sur cette première vulnérabilité, l’équipe de spécialistes a ainsi croisé une nouvelle faille de sécurité.

«Voici Stagefright 2.0, un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers audio MP3 ou vidéo MP4 spécialement conçus», a annoncé la firme sur son blogue tôt ce matin.

Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Selon Zimperium, la première vulnérabilité – logée dans libutils et portant le code CVE-2015-6602 – affecte essentiellement chaque appareil Android propulsé depuis la toute première version de l’OS, parue en 2008. Aux dires des spécialistes, c’est avec la seconde vulnérabilité – logée dans libstagefright – que les appareils fonctionnant sous Lollipop «et les versions subséquentes» s’exposent à l’exécution de code malveillant.

«La vulnérabilité réside dans le traitement des métadonnées intégrées aux fichiers, de sorte que la prévisualisation d’une chanson ou d’une vidéo est suffisante pour la déclencher. Puisque le vecteur d’attaque principal [de Stagefright] lié aux MMS a été retiré des nouvelles versions de Hangouts et Messenger de Google, le vecteur d’attaque possible [de Stagefright 2.0] serait par le navigateur web», croit Zimperium.

À noter que puisqu’il est question ici du navigateur web, Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Comment la vulnérabilité est-elle exploitée?

Essentiellement, un pirate souhaitant exploiter Stagefright 2.0 pourrait tenter de convaincre un utilisateur à visiter une page web contrôlé par l’attaque, soit par la technique classique d’hameçonnage. Il est possible également qu’un attaquant qui se trouve sur le même réseau que sa cible emploie des techniques d’interception de trafic commun (MITM) afin de rediriger les transmissions du navigateur web de sa victime vers un réseau non chiffré. Enfin, des applications tierces d’apparences inoffensives pourraient intégrer du code malveillant conçu pour exploiter Stagefright 2.0 auprès de leur bassin d’utilisateurs.

Du côté de Google, des porte-parole ont confirmé au blogue Ars Technica que la situation liée à cette nouvelle souche de Stagefright sera corrigée avec le déploiement de nouvelles mises à jour prévu la semaine prochaine. Une fois ce correctif publié, les détenteurs d’appareils Android devront patienter jusqu’à une semaine de plus avant que la mise à jour soit distribuée vers les appareils de la gamme Nexus, et davantage en ce qui concerne les appareils d’autres marques.

Les dernières nouvelles

10 jeux prometteurs à mettre sur votre radar en 2021

10 jeux prometteurs à mettre sur votre radar en 2021

Une application de finances personnelles pour ceux qui ne savent pas par où commencer

Une application de finances personnelles pour ceux qui ne savent pas par où commencer

Test du jeu Immortals: Fenyx Rising – La mythologie grecque vue par la magie d’Ubisoft Québec

Test du jeu Immortals: Fenyx Rising – La mythologie grecque vue par la magie d’Ubisoft Québec

Plus d'actualités

5 jeux à surveiller en décembre pour terminer cette étrange année !

5 jeux à surveiller en décembre pour terminer cette étrange année !

De l’espace aux créatures miniatures: 8 jeux à surveiller en octobre

De l’espace aux créatures miniatures: 8 jeux à surveiller en octobre

Superhéros et voyages dans le temps: 6 jeux à surveiller en septembre !

Superhéros et voyages dans le temps: 6 jeux à surveiller en septembre !

Populaires

Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

5 façons de gagner de l’argent en ligne 

5 façons de gagner de l’argent en ligne 

25 objets technos de votre enfance qui valent une fortune aujourd’hui

25 objets technos de votre enfance qui valent une fortune aujourd’hui

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .