All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Par Laurent LaSalle – le dans Actualités
Alors que les utilisateurs d'Android peinent encore à se rétablir du premier Stagefright, une nouvelle souche vient d'être découverte. La sécurité de la majorité des appareils Android est ainsi compromise une fois de plus.

Zimperium, la firme de sécurité ayant levé le voile sur Stagefright en juillet dernier, a malheureusement de bien mauvaises nouvelles pour les propriétaires d’appareils Android. En effet, en poursuivant leurs recherches sur cette première vulnérabilité, l’équipe de spécialistes a ainsi croisé une nouvelle faille de sécurité.

«Voici Stagefright 2.0, un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers audio MP3 ou vidéo MP4 spécialement conçus», a annoncé la firme sur son blogue tôt ce matin.

Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Selon Zimperium, la première vulnérabilité – logée dans libutils et portant le code CVE-2015-6602 – affecte essentiellement chaque appareil Android propulsé depuis la toute première version de l’OS, parue en 2008. Aux dires des spécialistes, c’est avec la seconde vulnérabilité – logée dans libstagefright – que les appareils fonctionnant sous Lollipop «et les versions subséquentes» s’exposent à l’exécution de code malveillant.

«La vulnérabilité réside dans le traitement des métadonnées intégrées aux fichiers, de sorte que la prévisualisation d’une chanson ou d’une vidéo est suffisante pour la déclencher. Puisque le vecteur d’attaque principal [de Stagefright] lié aux MMS a été retiré des nouvelles versions de Hangouts et Messenger de Google, le vecteur d’attaque possible [de Stagefright 2.0] serait par le navigateur web», croit Zimperium.

À noter que puisqu’il est question ici du navigateur web, Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Comment la vulnérabilité est-elle exploitée?

Essentiellement, un pirate souhaitant exploiter Stagefright 2.0 pourrait tenter de convaincre un utilisateur à visiter une page web contrôlé par l’attaque, soit par la technique classique d’hameçonnage. Il est possible également qu’un attaquant qui se trouve sur le même réseau que sa cible emploie des techniques d’interception de trafic commun (MITM) afin de rediriger les transmissions du navigateur web de sa victime vers un réseau non chiffré. Enfin, des applications tierces d’apparences inoffensives pourraient intégrer du code malveillant conçu pour exploiter Stagefright 2.0 auprès de leur bassin d’utilisateurs.

Du côté de Google, des porte-parole ont confirmé au blogue Ars Technica que la situation liée à cette nouvelle souche de Stagefright sera corrigée avec le déploiement de nouvelles mises à jour prévu la semaine prochaine. Une fois ce correctif publié, les détenteurs d’appareils Android devront patienter jusqu’à une semaine de plus avant que la mise à jour soit distribuée vers les appareils de la gamme Nexus, et davantage en ce qui concerne les appareils d’autres marques.

Les dernières nouvelles

Test du jeu The Legend of Zelda: Skyward Sword HD – Retour en force d’un jeu sous-estimé

Test du jeu The Legend of Zelda: Skyward Sword HD – Retour en force d’un jeu sous-estimé

10 des jeux vidéo les plus étranges jamais parus

10 des jeux vidéo les plus étranges jamais parus

Test du jeu Mario Golf : Super Rush – Parties de mini-golf

Test du jeu Mario Golf : Super Rush – Parties de mini-golf

Plus d'actualités

Village sinistre, jeux de rôle classiques et pirates impitoyables: 8 jeux à surveiller en mai !

Village sinistre, jeux de rôle classiques et pirates impitoyables: 8 jeux à surveiller en mai !

Trouver le meilleur prix pour votre forfait mobile et Internet

Trouver le meilleur prix pour votre forfait mobile et Internet

Du butin, du baseball et des photos de Pokémon: 6 jeux à surveiller en avril !

Du butin, du baseball et des photos de Pokémon: 6 jeux à surveiller en avril !

Populaires

Netflix Roulette, un site qui vous propose quoi regarder

Netflix Roulette, un site qui vous propose quoi regarder

5 façons de gagner de l’argent en ligne 

5 façons de gagner de l’argent en ligne 

Les meilleurs et pires opérateurs mobiles du Canada selon J.D. Power

Les meilleurs et pires opérateurs mobiles du Canada selon J.D. Power

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .