Nous vous parlions il y a quelques jours de la faille Stagefright, une faille très sérieuse et encore plus problématique quant à la répartition plutôt chaotique des mises à jour de Google. En effet, si le fait qu’Android regroupe plusieurs constructeurs est une excellente chose pour le consommateur, ils évident que ce manque de suivi des mises à jour devient un réel problème quant à la sécurité même de l’OS. Avec Stagefright, ce n’est pas moins de 950 millions de téléphones qui sont potentiellement menacés.
Zimperium, l’entreprise de sécurité à la base de la découverte de la faille Stagefright, a donc mis en ligne une vidéo avec les fichiers nécessaires pour le reproduire, les patchs, mais aussi un outil pour savoir si son terminal est vulnérable. Joshua Drake, l’homme ayant découvert cette faille, était présent à la conférence Black Hat de Las Vegas (conférence fournissant des points de vue nouveaux et exclusifs sur la sécurité de l’information) pour apporter plus de détails. Zimperium, à la suite de la conférence, a donc mis en ligne sur son blog une vidéo où l’on peut voir la prise de contrôle d’un appareil à distance.
Joshua Drake a développé un script assez facile d’utilisation pouvant accéder aux droits root depuis l’utilisateur média en une seule étape, ce qui conduit à un accès total du terminal. Dans la foulée, Zimperium propose également des proof of concept pour l’ensemble des 10 failles, sous forme d’un fichier MP4 ou 3GPP pouvant profiter de cette faille. La firme propose également un patch (inséré au code source AOSP) ainsi qu’une application au format APK permettant aux utilisateurs d’un terminal Samsung de désactiver les MMS. Il est également possible de vérifier votre appareil en installant Stagefright Detector App qui détectera si oui ou non, votre terminal est vulnérable à la faille Stagefright. Il est fort probable que votre appareil soit vulnérable si vous n’avez pas reçu la mise à jour de sécurité, comme sur les Nexus.
Dans les prochains jours, les constructeurs devraient proposer une mise à jour en OTA, comme Samsung ou encore Alcatel. Zimperum déclare travailler avec les opérateurs et les constructeurs pour accélérer la propagation de la mise à jour. Il est d’autant plus nécessaire de proposer rapidement un patch puisqu’un cite chinois a mis en ligne des détails techniques permettant de profiter de cette faille.
En attendant ce patch, désactiver la réception automatique des MMS et installer Stagefright Detector App. Avez-vous peur de cette faille? Serez-vous plus vigilant en attendant cette mise à jour?
Poster un Commentaire