La société NorthBit met en avant la découverte de Metaphor, une variante de la vulnérabilité Stagefright qui concernait plus d'un milliard de smartphones l'été dernier. Si la faille d'origine a été comblée par Google, non sans mal, il apparait que la faille reste accessible avec une variante, et qu'elle menace toujours une partie des terminaux sous Android.
La faille d'origine se situait au niveau de la librairie stagefright et permettait à un pirate d'envoyer un MMS contenant un fichier vérolé pour récupérer automatiquement l'accès root du téléphone du destinataire. Avec les patchs diffusés par Google et le temps, Stagefright était tombé aux oubliettes, mais il apparait que tout n'a pas été correctement colmaté.
Northbit a fait la démonstration de l'exploitation de la faille, cette fois en attirant une victime sur une page Web vérolée. Il suffit d'intégrer une vidéo dans la page, qui permettra de faire planter le serveur multimédia intégré à Android. Lors de la réinitialisation du serveur, un script est automatiquement lancé et permettra de récupérer une foule d'infos sur le terminal, puis de prendre le contrôle du smartphone. Le tout se fait en moins de 15 secondes.
La faille ne concerne que les terminaux Android équipés de la librairie Mediaserver intégrés dans les versions d'Android allant de la 2.2 à la 5.1. La faille en question a par ailleurs déjà été corrigée plusieurs fois par Google (CVE-2015-3864), mais il apparait que cela n’est pas suffisant.
