Cet été, des chercheurs en sécurité de Zimperium ont fait souffler un vent de panique en dévoilant l'existence d'une vulnérabilité dite Stagefright, du nom de la bibliothèque logicielle multimédia touchée, et permettant une exécution de code à distance.
Via un simple MMS piégé, de quoi compromettre à l'époque plus de 950 millions de smartphones Android. Zimperium revient aujourd'hui à la charge avec Stagefright 2.0 et estime que plus d'un milliard d'appareils Android sont à risque. Sundar Pichai, le PDG de Google, vient tout juste d'annoncer que le nombre d'utilisateurs actifs d'Android est de plus de 1,4 milliard.
Stagefright 2.0, ce sont deux vulnérabilités de sécurité au niveau du traitement de fichiers audio MP3 ou vidéo MP4 qui peuvent aussi conduire à une exécution de code à distance, et donc potentiellement l'installation d'un malware.
Une vulnérabilité affecte la bibliothèque libutils et touche presque tous les appareils depuis la publication d'Android 1.0. Zimperium indique avoir découvert des méthodes pour exploiter cette vulnérabilité dans des appareils équipés d'Android Lollipop (5.0 à 5.1.1) en utilisant une deuxième vulnérabilité dans la bibliothèque libstagefright.
Elles sont liées à la manière de traiter des métadonnées avec des fichiers spécialement conçus. La prévisualisation d'une chanson ou d'une vidéo peut suffire pour le déclenchement d'une attaque. Si le vecteur d'attaque MMS a été annihilé depuis la disponibilité de nouvelles versions de Hangouts et autres, une exploitation peut par exemple se faire via des navigateurs mobiles en incitant un utilisateur à consulter une URL hébergeant l'exploit.
Zimperium n'a pas publié de preuve de concept et n'a pas connaissance d'un exploit dans la nature. Google a été prévenu le 15 août et a partagé des patchs avec ses partenaires OEM le 10 septembre. Un correctif sera intégré dans la mise à jour mensuelle d'octobre.
Ce qui amène à se poser des questions est que les diverses mesures d'atténuation déjà mises en place n'ont pas été suffisantes pour régler tous les problèmes. Il risque donc d'en avoir d'autres...