Android est la victime d’une faille de sécurité critique qui menace 95% des appareils dans le monde. Un simple MMS suffit pour qu’une personne prenne le contrôle à distance, sans que l’utilisateur ne puisse rien faire.
C’est au mois d’avril que le cabinet de sécurité Zimperium a découvert une vulnérabilité critique dans Android, une faille qui touche toutes les versions du système d’exploitation mobile de Google supérieurs à la version 2.2.
Grâce à cette faille dans l’outil de lecture média intégré Stagefright, une personne mal intentionnée pourrait exécuter du code à distance simplement en envoyant un MMS. Après avoir pris le contrôle de l’appareil, il pourrait récupérer des informations personnelles, ou enregistrer les sorties audio et vidéo par exemple.
Là où cela se corse, c’est que Stagefright sert à prétélécharger du contenu multimédia pour éviter que le mobinaute ne doive attendre lors de l’ouverture du MMS. De fait, le code malicieux contenu dans le message s’exécute avant même que l’utilisateur ouvre le MMS ou l’efface.
Zimperium a partagé ses informations au sujet de cette faille avec Google, ainsi que six autres vulnérabilités. Bien que la firme de Mountain View se soit montrée très réactive à cette annonce, aucun correctif n’est à ce jour proposé.
Il est bon de préciser qu’en fait ce n’est pas Google qui déploie les correctifs, mais les fabricants de smartphones et certains opérateurs. En fait, Silent Circle et Mozilla utilisent aussi Stagefright sur leur Blackphone et dans Firefox OS, mais eux ont déjà déployé les correctifs nécessaires.
Alors que 95% des smartphones Android, soit 950 millions d’appareils, sont vulnérables, la conférence DEFCON de la semaine prochaine à Las Vegas devrait nous apprendre plus au sujet de ces failles.