Le patch incomplet de Stagefright de Google laisse les utilisateurs d'Android à la merci des hackers

Les chercheurs découvrent des failles dans le patch à moitié cuit de Stagefright émis par Google pour les smartphones et tablettes Android

Il semble que le bug Stagefright d’Android devient un véritable casse-tête pour Google. Corriger le ‘bug Stagefright’ sur les appareils Android prend plus de temps que ce que Google aurait pu espérer !

Vers la fin du mois dernier, lorsque le chercheur en sécurité, Joshua Drake, a exposé les détails de la vulnérabilité Stagefright, Google a été assez rapide pour fournir les patches nécessaires. Divers autres fabricants et opérateurs Android ont également uni leurs forces pour résoudre le problème sur la plupart des appareils Android. Certains d’entre eux ont également annoncé qu’ils déploieraient des patches mensuels qui ont en fait été établis comme une conséquence du bug Stagefright.

Cependant, il semble que les patches publiés par Google étaient à moitié cuits et corrigés à la hâte. Les chercheurs d’Exodus Intelligence ont découvert un défaut dans l’un des patches émis par Google et ils affirment qu’aux conditions appropriées, l’appareil Android est toujours vulnérable à l’attaque Stagefright.

Cela fait juste environ huit jours que Google, les fabricants Android et les opérateurs ont émis des patches appropriés pour leurs appareils respectifs. Après le déploiement du patch, les chercheurs d’Exodus Intelligence ont pu déclencher avec succès un crash système sur un appareil Android. Il semble que l’équipe de recherche ait utilisé un fichier mp4 correctement encodé via MMS pour attaquer le téléphone.

Les chercheurs ont envoyé une déclaration par e-mail déclarant : « Le résumé est que la vulnérabilité Stagefright est toujours exploitable et le patch de 4 lignes qui a été mis en œuvre est défectueux. Nous avons pu déclencher le défaut qui affecte encore plus de 950 millions d’appareils Android. »

Pour l’instant, il n’est pas clair si le bug peut être exploité uniquement pour l’exécution de code ou s’il peut également être utilisé pour un arrêt système.

D’autre part, dès qu’Exodus a signalé le problème avec le patch à Google, celui-ci a immédiatement rendu le patch open source pour la faille.

Google a confirmé qu’il avait déjà envoyé un second patch pour le problème.

Dans une déclaration, Google a déclaré : « Nous avons déjà envoyé la correction à nos partenaires pour protéger les utilisateurs, et Nexus 4/5/6/7/9/10 et Nexus Player recevront la mise à jour OTA dans la mise à jour de sécurité mensuelle de septembre. »

Actuellement, il n’est pas confirmé si les téléphones non-Nexus recevront également le second patch ; cependant, il semble que les appareils seront fournis avec ce nouveau patch intégré dans le système de patch mensuel qui sera déployé bientôt comme déjà confirmé plus tôt par Google, les fabricants Android et certains opérateurs.

En général, chaque fois qu’un bug ou une vulnérabilité est découvert, il doit y avoir un délai de préavis standard de 30 jours, ce qui donnerait suffisamment de temps à l’entreprise pour comprendre la faille et fournir un patch approprié pour atténuer le problème. Cependant, les chercheurs d’Exodus Intelligence ont divulgué le bug assez rapidement et Google a eu moins d’une semaine pour concevoir et déployer le patch pour la faille mise en évidence.

Exodus, cependant, estime que la faille faisait partie de la divulgation de la vulnérabilité Stagefright qui avait déjà été signalée à Google il y a environ quatre mois et, de manière surprenante, Google utilisait toujours un patch défectueux. Ainsi, dans le scénario actuel où il y a une intense sensibilisation du public à l’attaque Stagefright, Exodus n’a pas pu garder le bug secret.

Exodus a ajouté :

« Une quantité démesurée d’attention a été attirée sur le bug. Nous croyons que nous ne sommes probablement pas les seuls à avoir remarqué qu’il est défectueux. D’autres peuvent avoir des intentions malveillantes. »

Cependant, Google a souligné l’importance des systèmes d’atténuation comme la Randomisation de l’Agencement de l’Espace d’Adresse (ASLR) qui est présente dans les appareils Android. Il a fait une déclaration qui indique « actuellement plus de 90 % des appareils Android ont une technologie appelée ASLR activée, ce qui protège les utilisateurs de ce problème. »

Eh bien, pour l’instant, les utilisateurs d’Android doivent être prudents et vigilants chaque fois qu’ils ouvrent des messages reçus de sources inconnues. Veuillez vous référer à l’analyse détaillée de Stagefright et comment on peut arrêter l’attaque Stagefright mentionnée dans notre article précédent.