Metaphor : la faille Stagefright fait de la résistance sous Android

Le par  |  3 commentaire(s)
Stagefright

La faille Stagefright fait de la résistance sous Android : une nouvelle variante de cette dernière met aujourd'hui en danger 275 millions de terminaux dans le monde.

La société NorthBit met en avant la découverte de Metaphor, une variante de la vulnérabilité Stagefright qui concernait plus d'un milliard de smartphones l'été dernier. Si la faille d'origine a été comblée par Google, non sans mal, il apparait que la faille reste accessible avec une variante, et qu'elle menace toujours une partie des terminaux sous Android.

La faille d'origine se situait au niveau de la librairie stagefright et permettait à un pirate d'envoyer un MMS contenant un fichier vérolé pour récupérer automatiquement l'accès root du téléphone du destinataire. Avec les patchs diffusés par Google et le temps, Stagefright était tombé aux oubliettes, mais il apparait que tout n'a pas été correctement colmaté.

  

Northbit a fait la démonstration de l'exploitation de la faille, cette fois en attirant une victime sur une page Web vérolée. Il suffit d'intégrer une vidéo dans la page, qui permettra de faire planter le serveur multimédia intégré à Android. Lors de la réinitialisation du serveur, un script est automatiquement lancé et permettra de récupérer une foule d'infos sur le terminal, puis de prendre le contrôle du smartphone. Le tout se fait en moins de 15 secondes.

La faille ne concerne que les terminaux Android équipés de la librairie Mediaserver intégrés dans les versions d'Android allant de la 2.2 à la 5.1. La faille en question a par ailleurs déjà été corrigée plusieurs fois par Google (CVE-2015-3864), mais il apparait que cela n’est pas suffisant.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1886509
Dur dur de mettre autant de rustine
Le #1886526
Il faut utiliser des clients SMS/MMS plus costaud que celui d'origine. Textra corrige nativement la faille....
Le #1886532
Dur dur de patcher android malheureusement... Enfin, ce qui est bien avec les nouveau smartphone android, c'est qu'il y a les mises à jour de sécu qui sont proposées à côté des mises à jour de l'OS donc c'est déjà ça.

En ce qui concerne cette faille, espérons qu'un patch arrive rapidement
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]