Nouvelle faille Android avec un simple .mp3

Une faille dans le système d’exploitation mobile permet de prendre le contrôle de n’importe quel terminal Android, depuis la version 1.0. Aucun patch n’est disponible pour l’instant.

Depuis la faille Stagefright, qui permettait de prendre le contrôle d’un smartphone Android par le simple envoi d’un MMS. Les chercheurs de Zimperium, qui avaient présenté cette trouvaille en juillet dernier, viennent de présenter une nouvelle attaque du même genre, presque aussi terrifiante. Baptisée Stagefright 2, elle permet de pirater à distance un terminal Android par le biais d’un fichier MP3 ou MP4. Il suffit que l’utilisateur démarre la lecture d’un tel fichier multimédia infecté.

Le pirate peut essayer d’orienter l’utilisateur vers un site infecté par une méthode de phishing. S’il se trouve sur le même réseau que la cible, il peut également envoyer son fichier piégé par une injection de type « Man in the middle ». Enfin, on peut également imaginer la diffusion d’applis piégées sur des boutiques applicatives.

Deux approches techniques

Sur le plan technique, le pirate pourra façonner son exploit de deux façons différentes : soit en utilisant une faille dans la librairie « libstagefright », soit en s’appuyant sur une faille dans la librairie « libutils ». La première méthode est possible sur tous les smartphones sous Android 5.0 ou supérieur.

La seconde n’est possible que si le terminal utilise la partie vulnérable de la librairie « libutils », par exemple par le biais « d’applis tierces ou de fonctionnalités préchargées sur le téléphone par le constructeur ou l’opérateur », précise Zimperium. Par contre, cette méthode a l’avantage d’atteindre toutes les autres versions d’Android. Potentiellement, Stagefright 2 représente donc un risque pour l’ensemble des terminaux Android !

Les chercheurs ne vont pas mettre en ligne de preuve de concept pour grand public, mais compte en diffuser une à leurs partenaires d’ici à la fin octobre. Par ailleurs, ils vont mettre à jour l’application « Stagefright Detector » dès que Google aura publié un patch. D’ici là, attention aux fichiers MP3/MP4.

Source :

Zimperium

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Les derniers posts

Nouvelle faille Android avec un simple .mp3

Partager :

D'autres articles

Latest Posts

Ne loupez pas

Restez informés !

Nos articles

Restez informés !

Nous contacter