En juillet 2015, la société de sécurité Zimperium a annoncé avoir découvert une «licorne» d'une vulnérabilité à l'intérieur du système d'exploitation Android. Plus de détails ont été rendus publics lors de la conférence BlackHat début août - mais pas avant les gros titres déclarant que près d'un milliard d'appareils Android pourraient potentiellement être pris en charge sans même leurs utilisateurs le sachant.
Alors qu'est-ce que "Stagefright"? Et avez-vous besoin de vous en inquiéter?
Nous mettons continuellement à jour cet article au fur et à mesure que de plus amples informations sont publiées. Voici ce que nous savons et ce que vous devez savoir.
Qu'est-ce que Stagefright?
"Stagefright" est le surnom donné à un exploit potentiel qui vit assez profondément dans le système d'exploitation Android lui-même. L'essentiel est qu'une vidéo envoyée via MMS (message texte) pourrait théoriquement être utilisée comme une voie d'attaque à travers le libStageFright mécanisme (d'où le nom "Stagefright"), qui aide Android à traiter les fichiers vidéo. De nombreuses applications de messagerie texte - l'application Hangouts de Google a été spécifiquement mentionnée - traitent automatiquement cette vidéo pour qu'elle prêt à être visualisé dès que vous ouvrez le message, et donc l'attaque pourrait théoriquement se produire sans que vous le sachiez il.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Car libStageFright remonte à Android 2.2, des centaines de millions de téléphones contiennent cette bibliothèque défectueuse.
Août 17-18: Il reste des exploits?
Alors que Google a commencé à déployer des mises à jour pour sa gamme Nexus, la société Exodus a publié un article de blog disant sournoisement qu'au moins un exploit n'a pas été corrigé, ce qui implique que Google a foiré le code. Publication britannique Le registre, dans un morceau écrit de manière flouncily, cite un ingénieur de Rapid7 disant que le prochain correctif viendra dans la mise à jour de sécurité de septembre - une partie du nouveau processus mensuel de correctif de sécurité.
Google, pour sa part, n'a pas encore adressé publiquement cette dernière réclamation.
En l'absence de plus de détails sur celui-ci, nous sommes enclins à croire qu'au pire, nous sommes revenus là où nous avons commencé - qu'il y a failles dans libStageFight, mais qu'il existe d'autres niveaux de sécurité qui devraient réduire la possibilité que les périphériques soient exploité.
Un août. 18. Trend Micro a publié un article de blog sur une autre faille dans libStageFright. Il a déclaré qu'il n'avait aucune preuve que cet exploit était réellement utilisé, et que Google a publié le correctif du projet Open Source Android le août. 1.
Nouveaux détails Stagefright à partir d'août. 5
En conjonction avec la conférence BlackHat à Las Vegas - au cours de laquelle plus de détails sur la vulnérabilité Stagefright ont été divulgué publiquement - Google a abordé la situation en particulier, avec l'ingénieur en chef pour la sécurité Android Adrian Ludwig récit Radio Nationale Publique que "actuellement, 90 pour cent des appareils Android ont une technologie appelée ASLR activée, qui protège les utilisateurs du problème."
Ceci est tout à fait en contradiction avec la ligne «900 millions d'appareils Android sont vulnérables» que nous avons tous lue. Bien que nous n'allions pas entrer au milieu d'une guerre de mots et de pédantisme sur les chiffres, ce que Ludwig disait, c'est que les appareils exécutant Android 4.0 ou supérieur - c'est environ 95% de tous les appareils actifs avec les services Google - bénéficiez d'une protection intégrée contre une attaque par débordement de tampon.
ASLR (UNEcoiffer Srythme Layout Randomisation) est une méthode qui empêche un attaquant de trouver de manière fiable la fonction qu'il souhaite essayer d'exploiter par agencement aléatoire des espaces d'adressage mémoire d'un processus. ASLR est activé dans le noyau Linux par défaut depuis juin 2005 et a été ajouté à Android avec la version 4.0 (Sandwich à la crème glacée).
Comment est-ce pour une bouchée?
Cela signifie que les zones clés d'un programme ou d'un service en cours d'exécution ne sont pas placées au même endroit dans la RAM à chaque fois. Mettre des choses en mémoire au hasard signifie que tout attaquant doit deviner où chercher les données qu'il souhaite exploiter.
Ce n'est pas une solution parfaite, et même si un mécanisme de protection général est bon, nous avons toujours besoin de correctifs directs contre les exploits connus lorsqu'ils surviennent. Google, Samsung (1), (2) et Alcatel ont annoncé un correctif direct pour stagefright, et Sony, HTC et LG annoncent qu'ils publieront des correctifs de mise à jour en août.
Qui a trouvé cet exploit?
L'exploit a été annoncé le 21 juillet par la société de sécurité mobile Zimperium dans le cadre d'une annonce pour sa fête annuelle à la conférence BlackHat. Oui, tu l'as bien lu. Cette «mère de toutes les vulnérabilités Android», comme le dit Zimperium, était annoncé 21 juillet (une semaine avant que quiconque ne décide de s'en soucier, apparemment), et juste quelques mots la bombe encore plus grande de "Le soir du 6 août, Zimperium va secouer le Scène de fête à Vegas! "Et vous savez que ça va être une rage parce que c'est" notre fête annuelle à Vegas pour nos ninjas préférés ", complètement avec un hashtag rock et tout.
Quelle est l'ampleur de cet exploit?
Encore une fois, le nombre d'appareils avec la faille dans le libStageFright La bibliothèque elle-même est assez énorme, car elle se trouve dans le système d'exploitation lui-même. Mais comme Google l'a noté à plusieurs reprises, il existe d'autres méthodes en place qui devraient protéger votre appareil. Pensez-y comme une sécurité en couches.
Dois-je donc m'inquiéter de Stagefright ou pas?
La bonne nouvelle est que le chercheur qui a découvert cette faille dans Stagefright "ne croit pas que les pirates dans la nature soient l'exploitant. "C'est donc une très mauvaise chose qu'apparemment personne n'utilise contre qui que ce soit, du moins selon celui-ci la personne. Et, encore une fois, Google dit que si vous utilisez Android 4.0 ou supérieur, vous serez probablement OK.
Cela ne veut pas dire que ce n'est pas un mauvais exploit potentiel. C'est. Et cela met en évidence les difficultés liées à la diffusion des mises à jour via l'écosystème des fabricants et des opérateurs. D'un autre côté, c'est une avenue potentielle d'exploitation qui existe apparemment depuis Android 2.2 - ou fondamentalement depuis cinq ans. Cela fait de vous une bombe à retardement ou un kyste bénin, selon votre point de vue.
Et pour sa part, Google a réitéré en juillet Android Central qu'il existe plusieurs mécanismes en place pour protéger les utilisateurs.
Nous remercions Joshua Drake pour ses contributions. La sécurité des utilisateurs d'Android est extrêmement importante pour nous et nous avons donc répondu rapidement et des correctifs ont déjà été fournis aux partenaires qui peuvent être appliqués à n'importe quel appareil.
La plupart des appareils Android, y compris tous les appareils plus récents, disposent de plusieurs technologies conçues pour rendre l'exploitation plus difficile. Les appareils Android incluent également un bac à sable d'application conçu pour protéger les données des utilisateurs et d'autres applications sur l'appareil.
Qu'en est-il des mises à jour pour réparer Stagefright?
Nous allons avoir besoin de mises à jour du système pour vraiment corriger cela. Dans sa nouvelle "Groupe de sécurité Android" dans un août. 12 bulletin, Google a publié un «bulletin de sécurité Nexus» détaillant les choses de sa fin. Il y a des détails sur plusieurs CVE (Common Vulnerabilities and Exposures), y compris quand les partenaires ont été notifiés (dès le 10 avril, pour one), qui construit des correctifs Android (Android 5.1.1, build LMY48I) et tout autre facteur atténuant (la mémoire ASLR susmentionnée schème).
Google a également déclaré avoir mis à jour ses applications Hangouts et Messenger afin qu'elles ne soient pas automatiquement traiter les messages vidéo en arrière-plan "afin que les médias ne soient pas automatiquement transmis au serveur média processus."
La mauvaise nouvelle est que la plupart des gens doivent attendre que les fabricants et les transporteurs publient les mises à jour du système. Mais, encore une fois - alors que nous parlons de quelque chose comme 900 millions de téléphones vulnérables, nous parlons également zéro cas connus d'exploitation. Ce sont de très bonnes chances.
HTC a déclaré que les mises à jour à partir de maintenant contiendront le correctif. Et CyanogenMod les intègre maintenant aussi.
Motorola dit tous ses téléphones de la génération actuelle - du Moto E au plus récent Moto X (et tout le reste) sera patché, quel code sera envoyé aux opérateurs à partir du 10 août.
Le août. 5, Google a publié de nouvelles images système pour les Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 et Nexus 10. Google a également annoncé qu'il publierait mises à jour de sécurité mensuelles pour la gamme Nexus pour la ligne Nexus. (Le deuxième rendu public Aperçu M build semble également être déjà patché.)
Et bien qu'il n'ait pas nommé l'exploit Stagefright par son nom, Adrian Ludwig de Google plus tôt sur Google+ avait déjà abordé les exploits et la sécurité en général, rappelant encore une fois les multiples couches qui entrent dans la protection des utilisateurs. Il écrit:
Il existe une hypothèse commune et erronée selon laquelle tout bogue logiciel peut être transformé en exploit de sécurité. En fait, la plupart des bogues ne sont pas exploitables et Android a fait beaucoup de choses pour améliorer ces chances. Nous avons passé les 4 dernières années à investir massivement dans des technologies axées sur un type de bogue - les bogues de corruption de mémoire - et à essayer de rendre ces bogues plus difficiles à exploiter.
Pour en savoir plus sur son fonctionnement, lisez notre Questions-réponses sur la sécurité avec Ludwig de Google.
Applications de détection Stagefight
Nous ne voyons pas vraiment l'intérêt d'utiliser une application "détecteur" pour voir si votre téléphone est vulnérable à l'exploit Stagefright. Mais si vous le devez, il y en a de disponibles.
- Détecteur de scène mobile Lookout
- Détecteur Zimperium Stagefright
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, analyses et prises de vues, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Ce sont les meilleurs groupes pour Fitbit Sense et Versa 3.
Parallèlement à la sortie du Fitbit Sense et de la Versa 3, la société a également introduit de nouvelles bandes infinies. Nous avons sélectionné les meilleurs pour vous faciliter la tâche.