Android : Stagefright persiste

Google pensait avoir corrigé la vulnérabilité Stagefright. Pour mémoire, cette vulnérabilité qui touche 95 % des terminaux sous Android permet d’exécuter du code à distance, via un fichier multimédia spécifiquement élaboré et transmis par MMS, et cela même sans qu’il ait besoin d’être ouvert par l’utilisateur.

Las, le correctif initialement approuvé par Google s’avère inopérant : il continue d’être possible de produire des fichiers multimédia exploitant la vulnérabilité.  Ce qui ne l’empêche pas d’être distribué, tant par Google que par nombre de ses partenaires constructeurs.

Pour Zimperium, il y a là une bonne nouvelle : la vulnérabilité Stagefright semble réveiller toute la communauté Android. Marqué par sa fragmentation, l’écosystème de l’OS mobile de Google a toujours peiné à traiter la distribution de correctifs de manière cohérente, consistante, coordonnée.

Google vient d’annoncer des mises à jour mensuelles et plusieurs constructeurs se sont engagés à les pousser. Mais comme le souligne Samsung, les opérateurs sont également de la partie et doivent, eux-aussi, valider ce nouveau processus. Aux Etats-Unis, comme le relève Zimperium, AT&T, Verizon, T-Mobile et Sprint semblent aujourd’hui jouer le jeu. Deutsche Telekom désactive de son côté la récupération automatique des MMS pour limiter le risque d’exploitation de la vulnérabilité.

Mais en attendant que la librairie Stagefright soit effectivement corrigée, Trend Micro a découvert une autre vulnérabilité affectant Android et touchant aux fichiers multimédia. Référencée CVE-2015-3842, celle-ci permet également de forcer l’exécution de code à distance en s’appuyant sur un composant du programme MediaServer d’Android.