Attaque Stagefright : Il suffit d'un seul message texte pour pirater un smartphone Android

L’attaque Stagefright, la mère de toutes les vulnérabilités Android met 950 millions de smartphones en danger

Plus de 95 % des smartphones Android en circulation, soit environ 950 millions de smartphones, pourraient être vulnérables à une attaque de piratage unique mais critique appelée Stagefright.

Joshua Drake de Zimperium Mobile Security a découvert six + une vulnérabilités critiques dans le moteur de lecture multimédia natif appelé Stagefright. Il appelle ces faiblesses la « mère de toutes les vulnérabilités Android ».

Drake a déclaré que les vulnérabilités peuvent être exploitées en envoyant un seul message multimédia texte à un smartphone Android non corrigé. Bien que l’exploitation soit mortelle, dans certains cas, où les téléphones analysent le code d’attaque avant que le message ne soit ouvert, les exploits sont silencieux et l’utilisateur aurait peu de chances de défendre ses données.

Stagefright est un outil de lecture multimédia natif utilisé par Android et toutes ces faiblesses résident en lui. Drake déclare qu’ils sont tous des bugs « d’exécution de code à distance », permettant aux hackers malveillants d’infiltrer des appareils et d’exfiltrer des données privées.

Selon Drake, tout ce que le hacker potentiel doit faire est d’envoyer les exploits aux numéros de téléphone mobile ciblés. De là, ils pourraient envoyer un exploit emballé dans un message multimédia Stagefright (MMS), ce qui leur permettrait d’écrire du code sur l’appareil et de voler des données à partir de sections du téléphone qui peuvent être atteintes avec les autorisations de Stagefright.

Une fois la vulnérabilité exploitée, les hackers peuvent accéder à presque tout, y compris l’enregistrement audio et vidéo, l’espionnage des photos stockées sur des cartes SD. Même le modeste radio Bluetooth peut également être piraté via Stagefright.

Selon l’application MMS utilisée, la victime pourrait ne jamais savoir qu’elle a même reçu un message.

Les vulnérabilités sont si critiques que l’envoi d’un code d’exploitation au Google Hangouts de la victime « déclencherait instantanément l’exploitation même avant que l’utilisateur puisse regarder le smartphone ou avant même que vous ne receviez la notification ».

Un autre aspect intéressant de l’exploitation est qu’une fois qu’elle a été livrée, le hacker peut supprimer le message avant que l’utilisateur n’ait été alerté à son sujet, rendant les attaques complètement silencieuses.

Drake fera la divulgation complète avec une preuve de concept à Def Con le 6 août. Il a déclaré à Forbes qu’il avait signalé les bugs en avril de cette année et que Google avait envoyé les correctifs à ses partenaires de fabrication de smartphones.

Drake a déclaré qu’un total de sept vulnérabilités avaient été envoyées à Google d’ici le 9 avril 2015 et que Google lui avait répondu qu’il avait prévu des correctifs pour le 8 mai 2015. De plus, Google a assuré à Drake que toutes les futures versions d’Android seraient publiées pré-corrigées contre ces vulnérabilités.

Cependant, comme c’est le cas avec toute mise à jour de smartphone Android, les fabricants de smartphones transmettent rarement les correctifs aux utilisateurs finaux du smartphone. Particulièrement les petits fabricants qui fabriquent des smartphones Android localisés. En tant que tel, on peut supposer en toute sécurité qu’environ 950 millions de smartphones et tablettes Android en circulation pourraient être exploitables en utilisant la vulnérabilité Stagefright.

« Tous les appareils doivent être considérés comme vulnérables », a déclaré Drake à Forbes. Drake dit que seuls les téléphones Android inférieurs à la version 2.2 ne sont pas affectés par cette vulnérabilité particulière.

« J’ai fait beaucoup de tests sur un Galaxy Nexus Ice Cream Sandwich… où le MMS par défaut est l’application de messagerie Messenger. Celui-ci ne se déclenche pas automatiquement mais si vous regardez le MMS, il se déclenche, vous n’avez pas besoin d’essayer de lire le média ou quoi que ce soit, vous devez juste le regarder », a ajouté Drake.

Dans une déclaration envoyée par e-mail à Forbes, Google a remercié Drake pour avoir signalé les problèmes et fourni des correctifs, notant que ses partenaires fabricants devraient déployer dans les semaines et mois à venir.

« La plupart des appareils Android, y compris tous les appareils plus récents, ont plusieurs technologies conçues pour rendre l’exploitation plus difficile. Les appareils Android incluent également un bac à sable d’application conçu pour protéger les données des utilisateurs et d’autres applications sur l’appareil », a déclaré un porte-parole. Le porte-parole de Google a contacté Techworm et a déclaré qu’ils allaient pousser des correctifs supplémentaires pour les appareils Nexus la semaine prochaine avant le début de DefCon 2015. Le mail indique également que Google avait déjà émis un correctif aux fabricants de smartphones, cependant le mail ne précisait pas quels fabricants de smartphones avaient émis des correctifs aux utilisateurs finaux. Le courriel indique : « Cette vulnérabilité a été identifiée dans un environnement de laboratoire sur des appareils Android plus anciens, et autant que nous le savons, personne n’a été affecté. Dès que nous avons été informés de la vulnérabilité, nous avons pris des mesures immédiates et envoyé un correctif à nos partenaires pour protéger les utilisateurs. « Dans le cadre d’une mise à jour de sécurité régulièrement programmée, nous prévoyons de pousser d’autres protections aux appareils Nexus à partir de la semaine prochaine. Et, nous le publierons en open source lorsque les détails seront rendus publics par le chercheur à BlackHat. »

Le DefCon 2015 commence dans la première semaine d’août 2015 et nous nous attendons à ce que de nombreuses vulnérabilités soient rendues publiques au cours de la conférence de piratage de premier plan au monde. Nous cherchons également des commentaires de Google sur la nouvelle vulnérabilité Silent Attack révélée par Trend MicroLabs, qui rend près de 500 millions de smartphones Android vulnérables.