All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Par Laurent LaSalle – le dans Actualités
Alors que les utilisateurs d'Android peinent encore à se rétablir du premier Stagefright, une nouvelle souche vient d'être découverte. La sécurité de la majorité des appareils Android est ainsi compromise une fois de plus.

Zimperium, la firme de sécurité ayant levé le voile sur Stagefright en juillet dernier, a malheureusement de bien mauvaises nouvelles pour les propriétaires d’appareils Android. En effet, en poursuivant leurs recherches sur cette première vulnérabilité, l’équipe de spécialistes a ainsi croisé une nouvelle faille de sécurité.

«Voici Stagefright 2.0, un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers audio MP3 ou vidéo MP4 spécialement conçus», a annoncé la firme sur son blogue tôt ce matin.

Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Selon Zimperium, la première vulnérabilité – logée dans libutils et portant le code CVE-2015-6602 – affecte essentiellement chaque appareil Android propulsé depuis la toute première version de l’OS, parue en 2008. Aux dires des spécialistes, c’est avec la seconde vulnérabilité – logée dans libstagefright – que les appareils fonctionnant sous Lollipop «et les versions subséquentes» s’exposent à l’exécution de code malveillant.

«La vulnérabilité réside dans le traitement des métadonnées intégrées aux fichiers, de sorte que la prévisualisation d’une chanson ou d’une vidéo est suffisante pour la déclencher. Puisque le vecteur d’attaque principal [de Stagefright] lié aux MMS a été retiré des nouvelles versions de Hangouts et Messenger de Google, le vecteur d’attaque possible [de Stagefright 2.0] serait par le navigateur web», croit Zimperium.

À noter que puisqu’il est question ici du navigateur web, Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Comment la vulnérabilité est-elle exploitée?

Essentiellement, un pirate souhaitant exploiter Stagefright 2.0 pourrait tenter de convaincre un utilisateur à visiter une page web contrôlé par l’attaque, soit par la technique classique d’hameçonnage. Il est possible également qu’un attaquant qui se trouve sur le même réseau que sa cible emploie des techniques d’interception de trafic commun (MITM) afin de rediriger les transmissions du navigateur web de sa victime vers un réseau non chiffré. Enfin, des applications tierces d’apparences inoffensives pourraient intégrer du code malveillant conçu pour exploiter Stagefright 2.0 auprès de leur bassin d’utilisateurs.

Du côté de Google, des porte-parole ont confirmé au blogue Ars Technica que la situation liée à cette nouvelle souche de Stagefright sera corrigée avec le déploiement de nouvelles mises à jour prévu la semaine prochaine. Une fois ce correctif publié, les détenteurs d’appareils Android devront patienter jusqu’à une semaine de plus avant que la mise à jour soit distribuée vers les appareils de la gamme Nexus, et davantage en ce qui concerne les appareils d’autres marques.

Vidéo récente
- Actualités

La NASA prévoit d'explorer Mars à l'horizon 2033

Les dernières nouvelles

Comment mettre à jour sa RAM ? 

Comment mettre à jour sa RAM ? 

Branchez-vous -
Google Hangout : sursis avant la mort annoncée du service

Google Hangout : sursis avant la mort annoncée du service

Branchez-vous -
Google Stadia: les joueurs ne sont pas convaincus

Google Stadia: les joueurs ne sont pas convaincus

Branchez-vous -

Plus d'actualités

Google : un correcteur automatique bientôt intégré à Gmail

Google : un correcteur automatique bientôt intégré à Gmail

Branchez-vous -
iPhone 2020 : Apple fera appel à un fabricant Chinois pour ses écrans

iPhone 2020 : Apple fera appel à un fabricant Chinois pour ses écrans

Branchez-vous -
NASA : des tests sur la lave Islandaise avant d’aller sur Mars

NASA : des tests sur la lave Islandaise avant d’aller sur Mars

Branchez-vous -

Populaires

Faille sur Windows 10 : 800 millions de personnes touchées

Faille sur Windows 10 : 800 millions de personnes touchées

Branchez-vous -
EMUI 10 : les 35 smartphones compatibles

EMUI 10 : les 35 smartphones compatibles

Branchez-vous -
Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .