Stagefright, la menace qui affecte 95 % des terminaux Android

Un simple MMS pour prendre le contrôle à distance d’un smartphone Android ? C’est ce que laissent entrevoir les chercheurs de Zimperium. Dans un billet de blog, ils assurent avoir découvert plusieurs vulnérabilités au sein d’une librairie clé du système d’exploitation mobile de Google : « baptisée Stagefright, cette librairie traite plusieurs formats multimédia populaires. Et puisque le traitement multimédia est souvent critique en termes de temps, la librairie est développée en code natif (C++), plus susceptible d’ouvrir la voie à de la corruption de mémoire que des langages comme Java ».

Et ces vulnérabilités s’avèrent d’autant plus critiques que les méthodes d’exploitation ne semblent pas manquer, à commencer par « la pire d’entre elles qui ne nécessite pas d’interaction de l’utilisateur ».

Et les chercheurs d’expliquer : « les attaquants n’ont besoin que de votre numéro de téléphone mobile, qu’ils peuvent utiliser pour exécuter du code à distance, via un type de fichier multimédia spécifiquement élaboré et transmis via MMS. Une attaque pleinement réussie peut même effacer le message avant que vous ne le voyez. Vous n’en verrez que la notification ». Comme le soulignent les chercheurs, le procédé est là bien plus insidieux qu’avec le hameçonnage ciblé où l’action de la victime est généralement nécessaire pour provoquer la compromission – en ouvrant un fichier ou en cliquant sur un lien piégé.

C’est un total de sept vulnérabilités que les chercheurs ont ainsi découvertes dans Stagefright. Et… « tous les terminaux Android et dérivés à partir de la version 2.2 et au-delà sont affectés ». Les plus concernés sont les appareils équipés de versions antérieures à Jelly Bean « en raison de protection insuffisantes », soit environ 11 % des appareils.

Joshua Drake, vice-président de Zimperium zLabs en charge de la recherche et de l’exploitation, présentera ses découvertes début août, à l’occasion de l’édition américaine de la conférence Black Hat, puis de la Def Con 23.

Zimperium a déjà averti Google et proposé des correctifs. Le géant a réagi sans tarder « et appliqué les correctifs à son code en interne en l’espace de 48h ». Mais comme le souligne Zimperium, « ce n’est que le début de ce qui sera un très long processus de déploiement de mises à jour ». Et Google n’est pas le seul responsable là : les constructeurs de terminaux Android ont un rôle clé à jouer.

SilentCircle a déjà mis à jour sa version d’Android pour ses terminaux sécurisés Blackphone. Et Zimperium assure que son système de prévention des intrusions (IPS) pour Android protège contre les vulnérabilités de Stagefright. La distribution Android alternative CyanogenMod a également été mise à jour.