La vulnérabilité (corrigée) se situerait au coeur du code source d’Android Open Source Project (AOSP), selon les chercheurs de Zimperium.
Nouvelle alerte autour d'Android. Cette fois, ce sont les chercheurs de Zimperium qui ont mis la main sur une faille critique dans le code source du robot vert. La vulnérabilité est plutôt sauvage et discrète…
Elle est localisée dans le framework bibliothèque multimédia Stagefright qui permet la lecture de fichiers vidéos notamment. Développée en C++, cette bibliothèque est donc sensible à la corruption de mémoire. Tous les terminaux Android depuis la version 2.2 sont concernés, ce qui selon Zimperium équivaut à plus de 950 millions de terminaux. De quoi lui faire dire que cette faille est la plus grave jamais trouvée sur Android.
95% des terminaux Android vulnérables ?
Le principal problème serait sa facilité d'utilisation puisqu'il suffirait d'un MMS spécialement conçu pour embarquer le code malveillant. Pire, le dit MMS peut même être envoyé de manière silencieuse, sans que l'utilisateur ne s'en aperçoive, le message étant effacé avant son ouverture (une notification permet néanmoins d'être alerté). Mais le simple fait d'avoir été reçu suffit pour que le piège se referme. Ensuite, l'attaquant distant peut faire à peu près ce qu'il veut : écouter le micro, copier des fichiers, lire les emails etc…
Google est au courant de cette faille critique et a mis à jour le code source d’Android Open Source Project (AOSP). Mais les fabricants doivent également prendre le relai afin de proposer une mise à jour à leurs utilisateurs, et c'est dans cette intervalle que cette vulnérabilité pourrait être exploitée. Le feront-ils pour tous leurs terminaux, même les plus anciens ? Il faut dire qu'elle sera publiquement dévoilée lors de la conférence Black Hat du 5 août prochain.
Quelques screens d'explication provenant d'un Nexus 5 (hammerhead) avec comme système Android Lollipop 5.1.1
Sources : ZDNet / Zimperium
