Stagefright 2.0 : Ce que vous avez besoin de savoir

Les failles sur Android sont tellement nombreuses qu’elles sont même disponibles en plusieurs versions. Stagefright 2.0 concerne 2 failles similaires à Stagefright 1.0. 1,4 milliard d’appareils Android sont affecté.

La panique causée par le premier Stagefright est de retour avec un Remake appelé StageFright 2.0. La nouvelle souche a été découverte par Zimperium zLabs, la même firme qui a découvert le premier Stagefright. Et Stagefright 2.0 affecte tous les appareils Android et selon les stats de Google, on a environ 1,4 milliard d’appareils Android en circulation. Et le correctif pour le premier Stagefright ne fonctionne pas pour Stagefright 2.0 puisque ce sont des failles complètement différentes.

Comprendre Stagefright 2.0

Stagefright 2.0 est similaire à la première dans la mesure où ça concerne les fichiers médias qui peuvent exécuter du code malveillant. Et ce code malveillant peut donner le contrôle de votre appareil aux pirates. Stagefright ne concernait que les fichiers MP4 tandis que le code de Stagefright 2.0 peut être exécuté sur des fichiers MP3 et MP4. Si le code malveillant est exécuté, alors les pirates pourront accéder à toutes vos données ainsi qu’au micro et à l’APN.

Le nom de Stagefright vient du moteur de lecteur des médias sur Android. La faille concerne ce moteur qui est exploité par Stagefright 2.0. Ce dernier concerne 2 failles avec la première qui réside dans libutils et qui affecte la totalité des appareils Android depuis 2008. La seconde faille réside dans libstagefright qui peut être exploité dans des appareils tournant sous Android 5.0 et supérieur.

Le fonctionnement des failles de Stagefright 2.0

Le pirate doit envoyer des fichiers MP3 ou MP4 infectés sur votre appareil. Si vous prévisualisez la vidéo ou le MP3, alors le code malveillant sera exécuté. Le premier Stagefright impliquait l’envoi d’un MMS sur un fichier vidéo malveillant provenant de Hangouts et des autres applications de messagerie qui téléchargent automatiquement les vidéos. Les correctifs pour Stagefright 1.0 sont disponibles pour de nombreux appareils, mais les utilisateurs pouvaient aussi s’en protéger en désactivant le téléchargement de ces médias sur Hangouts et les applications similaires.

Étant donné que les pirates ne pouvaient plus utiliser Google Hangouts ou d’autres messageries, ils ont utilisé le navigateur web pour propager Stagefright 2.0. Il suffit que l’utilisateur clique sur une URL qui est contrôlée par le pirate. Ce dernier peut aussi utiliser des applications tierces pour télécharger et lancer automatiquement les fichiers média. Enfin, on peut aussi lancer Stagefright 2.0 via une attaque de type homme du milieu, mais il faut que le pirate se trouve dans le même réseau.

Google et les constructeurs se précipitent pour corriger Stagefright 2.0

Zimperium a notifié l’équipe de sécurité d’Android le 15 aout 2015 et Google va déployer un patch la semaine prochaine pour la faille sur libutils. Ce sera intégré dans les appareils Nexus et dans Android 6.0 Marshmallow. Cette faille est identifiée comme la CVE-2015-6602. Mais pour la seconde faille, Google n’a pas encore annoncé de patch. Malheureusement, les appareils Android de plus de 2 ans ne recevront jamais le correctif pour Stagefright 2.0, car les constructeurs ne les supportent plus.

Comment se protéger de Stagefright 2.0

Les précautions standards sont plus ou moins efficaces contre Stagefright 2.0. Ne pas télécharger d’applications inconnues ou accéder à des sites douteux. Ne pas cliquer sur les fichiers médias qu’on peut recevoir dans les mails et les SMS. Zimperium propose une application appelée Stagefright Detector App, mais elle n’est pas encore compatible avec Stagefright 2.0. La firme va le mettre à jour dès que Google aura déployé le patch.

---

Mes livres

Le Basilic de Roko	Mon parcours de rédacteur web	Science corrompue et servile	Nous, Tueurs en série