Sécurité

La défaillance d’Android affecte 950 millions d’appareils et permet l’exécution de codes malveillants

Un bug Android publié par Zimperium lundi (27) permet aux pirates d’accéder à l’appareil avec seulement un message multimédia (MMS). Tout comme la défaillance du iOS, cette vulnérabilité d’Android tire parti du téléchargement automatique de médias dans les Hangouts, affectant environ 950 millions d’appareils.

Mais calmez-vous, vous n’êtes pas (si) incertain. D’une certaine manière, la faille, appelée Stagefright, a besoin de conditions spécifiques pour se produire. Tout d’abord, un pirate informatique doit envoyer une vidéo Android contenant un logiciel malveillant par MMS et l’utilisateur doit recevoir le message par Hangouts.

De là, comme Hangouts télécharge les médias que vous recevez avant même que vous ne voyiez le message, la vidéo malveillante sera déjà dans votre stockage interne et vous donnera accès à vos fichiers, à votre appareil photo, à votre microphone et à tout le reste de votre téléphone. Il s’agit d’une faille très grave, car l’utilisateur n’a pas besoin de cliquer sur un lien pour exploiter la vulnérabilité, par exemple.

  Xiaomi portera Android Q à 9 téléphones cette année, dont Mi 8

Joshua Drake, vice-président de la recherche et de l’exploration des plates-formes chez Zimperium, affirme que même l’application SMS standard sur Android peut être explorée. Contrairement à Hangouts, il ne fait que sauvegarder le média lorsque l’utilisateur clique sur le message, mais il n’est toujours pas nécessaire de lancer la vidéo.

Parmi les 950 millions d’appareils touchés, la majorité des appareils Android ont la version 2.2 ou supérieure. Jusqu’à la version 4.3 Jelly Bean, la défaillance est plus grave, car il est difficile pour les appareils en dessous de cette version d’être mis à jour à l’avenir. Le Nexus 6 n’a pas ce problème de retardement des mises à jour, mais il reste partiellement vulnérable (certains bugs ont été corrigés et d’autres non), tandis que le Nexus 5 est encore totalement insécurisé.

Malgré tout, Joshua ne croit pas que des pirates informatiques explorent (encore) cette faille. Il a même signalé la vulnérabilité à Google en avril, envoyant même des instructions sur la façon de la corriger. Google a accepté ses correctifs, mais il reste encore ce long processus de mise à jour des différentes versions du système, modifiées par les fabricants (qui ont déjà été notifiés).

  Dropbox a menti sur la protection des fichiers des utilisateurs

Contrairement à la dernière faille d’iOS, cette vulnérabilité d’Android ne peut être exploitée par quiconque par le simple envoi d’un SMS ; des connaissances plus poussées sont nécessaires. D’autre part, comme seuls les produits Apple fonctionnent sous iOS, il est plus facile pour le fabricant de publier une mise à jour rapide qui corrige la faille ? et de la même manière cela a pris 1 mois. Il n’en va pas de même avec les milliers de modifications apportées par les fabricants sur le système de Google.

Dans le cas d’Android, l’utilisateur doit avant tout cesser d’utiliser Hangouts comme client de messagerie texte et multimédia ? à partir de Nexus 5, il est livré en standard, tandis que dans les autres appareils Android (même Motorola), la norme reste la messagerie. Si vous voulez être en sécurité, je vous recommande de désactiver le téléchargement automatique des MMS dans Messaging ou Messenger, une autre application de messagerie textuelle de Google.

  Google publie la version finale d'Android 7.0 Nougat

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire