Les deux derniers mois ont été remplis de beaucoup d'incertitude autour d'une série de problèmes communément appelés Trac, un nom gagné car la plupart des problèmes rencontrés sont liés à libstagefright dans Android. La société de sécurité Zimperium a publié ce qu'elle appelle Stagefright 2.0, avec deux nouveaux problèmes concernant les fichiers mp3 et mp4 qui pourraient être manipulés pour exécuter du code malveillant sur votre téléphone.
Voici ce que nous savons jusqu'à présent et comment vous protéger.
Qu'est-ce que Stagefright 2.0 ?
Selon Zimperium, une paire de vulnérabilités récemment découvertes permet à un attaquant de présenter un téléphone Android ou tablette avec un fichier qui ressemble à un MP3 ou MP4, donc lorsque les métadonnées de ce fichier sont prévisualisées par le système d'exploitation, ce fichier peut s'exécuter code malicieux. En cas d'attaque Man in the Middle ou d'un site Web conçu spécifiquement pour fournir ces fichiers malformés, ce code pourrait être exécuté à l'insu de l'utilisateur.
Zimperium affirme avoir confirmé l'exécution à distance et l'a porté à l'attention de Google le 15 août. En réponse, Google a attribué CVE-2015-3876 et CVE-2015-6602 à la paire de problèmes signalés et a commencé à travailler sur un correctif.
Mon téléphone ou ma tablette est-il concerné ?
D'une manière ou d'une autre, oui. CVE-2015-6602 fait référence à une vulnérabilité dans libutils, et comme le souligne Zimperium dans son article annonçant la découverte de cette vulnérabilité, elle affecte tous les téléphones Android et tablette remontant jusqu'à Android 1.0. CVE-2015-3876 affecte tous les téléphones ou tablettes Android 5.0 et versions ultérieures, et pourrait théoriquement être diffusé via un site Web ou un homme du milieu attaque.
CEPENDANT.
Il n'existe actuellement aucun exemple public de cette vulnérabilité ayant été utilisée pour exploiter quoi que ce soit en dehors du laboratoire conditions, et Zimperium ne prévoit pas de partager l'exploit de preuve de concept qu'ils ont utilisé pour démontrer ce problème à Google. Bien qu'il soit possible que quelqu'un d'autre puisse comprendre cet exploit avant que Google ne publie un correctif, les détails de cet exploit étant toujours gardés confidentiels, il est peu probable.
Que fait Google à ce sujet ?
Selon une déclaration de Google, la mise à jour de sécurité d'octobre corrige ces deux vulnérabilités. Ces correctifs seront créés dans AOSP et déployés auprès des utilisateurs de Nexus à partir du 5 octobre. Les lecteurs aux yeux d'aigle ont peut-être remarqué que le Nexus 5X et le Nexus 6P que nous avons examinés récemment avaient déjà le 5 octobre mise à jour installée, donc si vous avez pré-commandé l'un de ces téléphones, votre matériel arrivera patché contre ceux-ci vulnérabilités. Des informations supplémentaires sur le patch seront dans le Groupe Google de sécurité Android le 5 octobre.
En ce qui concerne les téléphones autres que Nexus, Google a fourni la mise à jour de sécurité d'octobre aux partenaires le 10 septembre et a travaillé avec les équipementiers et les opérateurs pour fournir la mise à jour dès que possible. Si vous jetez un coup d'œil à la liste des appareils corrigés dans le dernier exploit Stagefright, vous avez une idée raisonnable du matériel considéré comme prioritaire dans ce processus.
Comment puis-je rester en sécurité jusqu'à l'arrivée du patch pour mon téléphone ou ma tablette ?
Dans le cas où quelqu'un court vraiment avec un exploit Stagefright 2.0 et essaie d'infecter les utilisateurs d'Android, ce qui est encore une fois très peu probable en raison au manque de détails publics, la clé pour rester en sécurité a tout à voir avec l'attention portée à l'endroit où vous naviguez et à ce à quoi vous êtes connecté.
Évitez les réseaux publics lorsque vous le pouvez, comptez sur l'authentification à deux facteurs dans la mesure du possible et restez aussi loin que possible des sites Web louches. Surtout, des trucs Web de bon sens pour vous protéger.
Est-ce la fin du monde?
Pas même un peu. Bien que toutes les vulnérabilités de Stagefright soient en effet graves et doivent être traitées comme telles, la communication entre Zimperium et Google pour s'assurer que ces problèmes sont résolus le plus rapidement possible a été fantastique. Zimperium a à juste titre attiré l'attention sur les problèmes d'Android, et Google est intervenu pour les résoudre. Dans un monde parfait, ces vulnérabilités n'existeraient pas, mais elles existent et sont traitées rapidement. Je ne peux pas demander beaucoup plus que cela, compte tenu de la situation dans laquelle nous nous trouvons.