Votre smartphone Android peut être piraté simplement en regardant une vidéo malveillante

Attention ! Ouvrir simplement une vidéo sur Android peut pirater votre smartphone

Plus d’un milliard d’appareils fonctionnant sous des versions entre Android 7.0 Nougat et Android 9.0 Pie sont confrontés à une vulnérabilité critique d’exécution de code à distance (RCE), rapporte The Hacker News.

La faille RCE critique (CVE-2019-2107) en question réside dans le cadre multimédia Android utilisé pour la lecture de médias. La vulnérabilité, si elle est exploitée, permet à un hacker de lancer une attaque à distance en utilisant un fichier spécialement créé pour exécuter du code arbitraire sur le smartphone cible.

L’attaquant doit simplement inciter l’utilisateur à lire un fichier vidéo malveillant spécialement conçu via le lecteur vidéo natif Android, ou une application vidéo tierce qui utilise le cadre multimédia Android. Il peut alors, avec un payload, obtenir une élévation de privilèges, puis un contrôle complet de l’appareil.

Plus tôt ce mois-ci, Google a publié une mise à jour de sécurité pour cette vulnérabilité critique.

« La vulnérabilité la plus sévère dans cette section [cadre multimédia] pourrait permettre à un attaquant à distance utilisant un fichier spécialement conçu d’exécuter du code arbitraire dans le contexte d’un processus privilégié », a décrit Google la vulnérabilité dans son Bulletin de sécurité Android de juillet. Cependant, des millions de smartphones Android sont encore vulnérables, car ils n’ont pas encore reçu la dernière mise à jour de sécurité .

Pour aggraver les choses, Marcin Kozlowski, un développeur Android basé en Allemagne, a téléchargé une preuve de concept pour cette attaque sur GitHub, ce qui rend possible le crash des appareils via un fichier vidéo. La PoC comprend également des détails sur la façon de réaliser une RCE sur les téléphones LineageOS et Samsung.

Bien que la PoC (une vidéo encodée HEVC) partagée par Kozlowski ne fasse que planter le lecteur multimédia, le chercheur avertit qu’il est possible d’exécuter du code arbitraire sur les appareils ciblés avec une vidéo correctement préparée.

Il convient de noter que l’attaque ne fonctionne pas si de telles vidéos malveillantes sont reçues via des plateformes de médias sociaux comme Twitter, WhatsApp, YouTube ou Messenger, car ces services, avant d’envoyer, compressent généralement les vidéos et ré-encodent les fichiers multimédias, ce qui altère le code malveillant intégré.

Lié - Les applications Android collectent des données utilisateur même après avoir été refusées l’autorisation

Par conséquent, il est conseillé aux utilisateurs d’éviter de télécharger et de lire des vidéos aléatoires provenant de sources inconnues ou non fiables. Il est également recommandé aux utilisateurs d’installer la dernière mise à jour de sécurité Android dès qu’un correctif est disponible.