C’est au cours de l’été 2015 que l’on a entendu parler de la faille Stagefright, une vulnérabilité importante qui menaçait des millions d’appareils mobiles équipés du système d’exploitation Android.
Depuis le temps, on a logiquement pensé qu’un correctif a été déployé pour la corriger. Pas du tout, c’est ce que vient de déclarer la firme NorthBit. Selon cette entreprise, la faille Stagefright est toujours présente, mais aussi très facilement exploitable !
La situation est grave, car ce sont 98% des appareils qui fonctionnent avec Android qui sont potentiellement vulnérables à Stagefright. À la différence de l’été dernier, la menace a également évolué. Elle n’est plus représentée par des e-mails piégés, mais par des sites malveillants compromis pour exploiter la vulnérabilité.
Stagefright est une faille de sécurité critique, car elle permet à un hacker d’exécuter des opérations arbitraires à distance sur le dispositif d’une victime. Le concept d’attaque présenté par NorthBit indique que la victime ne voit généralement rien, qu’il n’a aucune action à faire pour que son terminal soit compromis.
L’attaque exploite certaines vulnérabilités de débordement d’entier dans le composant « Stagefright » d’Android, une bibliothèque de logiciels complexes écrite en C++ dans le cadre du projet Open Source Android (PSBA).
Elle est notamment utilisée pour prendre en charge les différents formats multimédias, par exemple le MP4. L’attaquant n’a besoin que de 15 secondes pour piéger un appareil !
Pour l’heure, il est impossible de savoir si les dernières versions d’Android 5.1 Lollipop incluent un correctif pour le bug Stagefright.
Certaines fonctionnalités, comme l’Address Space Layout Randomization (ASLR), peuvent contribuer à rendre l’exploitation de Stagefright plus difficile, mais pas l’empêcher.
Comme les MMS sont une réelle menace, bloquer la récupération automatique des messages MMS, surtout s’ils proviennent d’expéditeurs inconnus, est conseiller.