Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Par Laurent LaSalle – le dans Actualités
Alors que les utilisateurs d'Android peinent encore à se rétablir du premier Stagefright, une nouvelle souche vient d'être découverte. La sécurité de la majorité des appareils Android est ainsi compromise une fois de plus.

Zimperium, la firme de sécurité ayant levé le voile sur Stagefright en juillet dernier, a malheureusement de bien mauvaises nouvelles pour les propriétaires d’appareils Android. En effet, en poursuivant leurs recherches sur cette première vulnérabilité, l’équipe de spécialistes a ainsi croisé une nouvelle faille de sécurité.

«Voici Stagefright 2.0, un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers audio MP3 ou vidéo MP4 spécialement conçus», a annoncé la firme sur son blogue tôt ce matin.

Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Selon Zimperium, la première vulnérabilité – logée dans libutils et portant le code CVE-2015-6602 – affecte essentiellement chaque appareil Android propulsé depuis la toute première version de l’OS, parue en 2008. Aux dires des spécialistes, c’est avec la seconde vulnérabilité – logée dans libstagefright – que les appareils fonctionnant sous Lollipop «et les versions subséquentes» s’exposent à l’exécution de code malveillant.

«La vulnérabilité réside dans le traitement des métadonnées intégrées aux fichiers, de sorte que la prévisualisation d’une chanson ou d’une vidéo est suffisante pour la déclencher. Puisque le vecteur d’attaque principal [de Stagefright] lié aux MMS a été retiré des nouvelles versions de Hangouts et Messenger de Google, le vecteur d’attaque possible [de Stagefright 2.0] serait par le navigateur web», croit Zimperium.

À noter que puisqu’il est question ici du navigateur web, Stagefright 2.0 menace non seulement les téléphones, mais également les tablettes propulsées par Android.

Comment la vulnérabilité est-elle exploitée?

Essentiellement, un pirate souhaitant exploiter Stagefright 2.0 pourrait tenter de convaincre un utilisateur à visiter une page web contrôlé par l’attaque, soit par la technique classique d’hameçonnage. Il est possible également qu’un attaquant qui se trouve sur le même réseau que sa cible emploie des techniques d’interception de trafic commun (MITM) afin de rediriger les transmissions du navigateur web de sa victime vers un réseau non chiffré. Enfin, des applications tierces d’apparences inoffensives pourraient intégrer du code malveillant conçu pour exploiter Stagefright 2.0 auprès de leur bassin d’utilisateurs.

Du côté de Google, des porte-parole ont confirmé au blogue Ars Technica que la situation liée à cette nouvelle souche de Stagefright sera corrigée avec le déploiement de nouvelles mises à jour prévu la semaine prochaine. Une fois ce correctif publié, les détenteurs d’appareils Android devront patienter jusqu’à une semaine de plus avant que la mise à jour soit distribuée vers les appareils de la gamme Nexus, et davantage en ce qui concerne les appareils d’autres marques.

Les dernières nouvelles

Une faille Bluetooth affecte des millions de serrures … y compris celles des Tesla

Une faille Bluetooth affecte des millions de serrures … y compris celles des Tesla

Un nouveau format musical entre le vinyle et le CD voit le jour

Un nouveau format musical entre le vinyle et le CD voit le jour

Bientôt sur Netflix : la télé en direct?

Bientôt sur Netflix : la télé en direct?

Plus d'actualités

Échec pour Grand Theft Auto Trilogy: The Definitive Edition, encore beaucoup de succès pour Grand Theft Auto V

Échec pour Grand Theft Auto Trilogy: The Definitive Edition, encore beaucoup de succès pour Grand Theft Auto V

Ubisoft+ s’en vient sur les consoles PlayStation !

Ubisoft+ s’en vient sur les consoles PlayStation !

Autoexec Games remporte le gros lot dans la 6e édition des Ubisoft Indie !

Autoexec Games remporte le gros lot dans la 6e édition des Ubisoft Indie !

Populaires

Avec Google Drive, regardez gratuitement des films en streaming

Avec Google Drive, regardez gratuitement des films en streaming

Comment devenir plus intelligent en deux minutes sans même vous forcer

Comment devenir plus intelligent en deux minutes sans même vous forcer

Brazzers : Près de 800 000 mots de passe compromis

Brazzers : Près de 800 000 mots de passe compromis

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .