Journal Stagefright, une faille Android qui va faire mal ?

Posté par . Licence CC by-sa
28
28
juil.
2015

C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.

Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.

La faille se situerait dans la bibliothèque de lecture des fichiers multimédias d'Android. Étant donné que par défaut le MMS s'affiche dès la réception dans une notification, cela suffirait à lancer l'attaque.

Un patch corrigeant cette faille a d’ors et déjà été transmis à Google qui l'a appliqué mais mettre à jour pas moins 950 millions de mobiles (entres autres) ne sera pas une mince à faire et dépendra de la bonne volonté des constructeurs.

À savoir que Firefox serait aussi impacté pour les versions inférieures à la version 38.

Tout cela reste encore au conditionnel car l'histoire ne dévoile pas encore toute son intrigue. L'annonce complète se fera la semaine prochaine au Blackhat USA 2015 et au DEF CON 23.

En attendant voilà une belle publicité pour cette société spécialisée dans la sécurité des équipements mobiles dont le blog à même du mal à supporter la charge actuelle.

  • # Android != HangOut

    Posté par . Évalué à -6.

    En faite ça ne touche que HangOut, donc pour ceux qui ne l'utilise pas il n'y a pas de risque.
    Et pour la mise à jour c'est par le store de Google. Donc les constructeurs ne sont pas concerner par le processus (enfin si il n'ont pas désactivé les mises à jours).

    Après ça reste une faille importante, mais moins pire qu'une faille de l'OS.

    • [^] # Re: Android != HangOut

      Posté par (page perso) . Évalué à 10.

      En faite ça ne touche que HangOut, donc pour ceux qui ne l'utilise pas il n'y a pas de risque.

      C'est faux. Le blog de Zimperium indique bien que toutes les applications qui utilisent le moteur vidéo Stagefright sont impactées. D'ailleurs Firefox (pour les versions inférieures à 38) est aussi vulnérable.
      Ce qui est vrai c'est que le vecteur d'attaque le plus probable de ces failles du moteur vidéo passe par un MMS. Donc les logiciels les plus vulnérables sont HangOut et Messenger.

      Et pour la mise à jour c'est par le store de Google. Donc les constructeurs ne sont pas concerner par le processus.

      C'est également faux puisque la correction du moteur vidéo Stagefright va nécessiter une mise à jour complète. Le blog de Zimperium indique : fixes for these issues require an OTA firmware update for all affected devices. Such updates for Android devices have traditionally taken a long time to reach users. Devices older than 18 months are unlikely to receive an update at all..

      • [^] # Re: Android != HangOut

        Posté par . Évalué à -2.

        Ok j'avais lu que le problème ne touché que HangOut. Donc effectivement c'est la merde.

      • [^] # Re: Android != HangOut

        Posté par . Évalué à 2.

        Du coup, si on désactive les applis susceptibles de lire des vidéos (Youtube, etc.), est-ce que cela permet de contourner le problème ?

        • [^] # Re: Android != HangOut

          Posté par . Évalué à 4. Dernière modification le 31/07/15 à 14:17.

          Peut être ? Peut être aussi que :

          12d11
          <     allow mediaserver self:process execmem;
          

          dans la règle nommée mediaserver.te suffit ? Suffit à tout casser :p

          En tout cas, espérons que cette faille oblige les constructeurs à changer leur fusil d'épaule concernant les mises à jour. Pour l'instant, les mises à jour Android c'est vraiment le foutoir. Perso je n'ai acheté que des Nexus et c'est dans ces moments là que je ne regrette pas (mais bon, le nombre de modules proprio ne cessent d'augmenter :-/ passant de 4 sur le magic32b, à 10 sur le N4, maintenant à 14 sur le N6 ! C'est un autre sujet mais c'est inquiétant aussi)

  • # MMS oups

    Posté par . Évalué à 9.

    En gros :
    - Tu utilises Hangout alors celui-ci "lit" tous les MMS avant même le propriétaire du smartphone, du coup l'attaque est silencieuse et celle-ci peut même effacer le MMS qui a été utilisé pour introduire le code malicieux.
    - Tu n'utilises pas Hangout, il faut alors que tu lances la vidéo pour activer l'attaque.

    Du coup dans ce monde de dingue le système de mise à jour d'Android n'est PAS DU TOUT adapté…

    • [^] # Re: MMS oups

      Posté par . Évalué à 9. Dernière modification le 28/07/15 à 10:06.

      Named Stagefright, it is a media library that processes several popular media formats.

      Le MMS est juste un des vecteurs possibles. La faille se situe dans la librairie multimédias qui est un peu l'équivalent de FFmpeg donc potentiellement tout ce qui lit une vidéo sur l'équipement peut être utilisé comme vecteur d'attaque.

      Mais il reste à voir en détails de quoi il s’agit vraiment.

    • [^] # Re: MMS oups

      Posté par . Évalué à 2.

      Et encore, beaucoup de composant ont été déplacé du "system de base" qui doit être mis à jour via OTA dans des packages qui doivent être mis à jour via Play. Mais c'est vrai que ce n'est pas parfait.

      • [^] # Re: MMS oups

        Posté par (page perso) . Évalué à 3.

        Tu peux être sur qu'avec une mauvaise pub comme celle ci, Google va déplacer ce genre de bibliothèques dans des mises à jour via Google Services…

    • [^] # Re: MMS oups

      Posté par . Évalué à 3.

      Niveau mms je suis tranquille vu que mon tel a toujours refuse de les recuperer. Je suis tout de meme curieux de voir la reaction des constructeurs/opérateurs…

      • [^] # Re: MMS oups

        Posté par (page perso) . Évalué à 10.

        Je suis tout de meme curieux de voir la reaction des constructeurs/opérateurs…

        La réaction sera un silence assourdissant (sauf peut-être pour les smartphones encore en vente).

      • [^] # Re: MMS oups

        Posté par . Évalué à 2.

        T'as pensé à activer la data ? À configurer ton APN pour les MMS ?

        • [^] # Re: MMS oups

          Posté par . Évalué à -8.

          Je ne vois pas de quoi tu parles ni la relation entre mon appareil photo numerique et les mms mais bon vu le probleme dont il est question ici meme si il y a une solution pour activer les mms je pense que je vais tres legerement pas l'activer :)

          • [^] # Re: MMS oups

            Posté par . Évalué à 4.

            L'APN ne signifie pas Appareil Photo Numérique mais Access Point Name ici !
            C'est le nom d'un paramètre qui permet de configurer la réception de MMS.

          • [^] # Re: MMS oups

            Posté par . Évalué à 3.

            APN pour Access Point Name, rien à voir avec ton appareil photo numerique j'en ai peur. Il s'agit de la configuration pour communiquer avec ton operateur.

            Par exemple chez Free, tu dois avoir une config comme celle-ci:
            -APN MMS
            --Nom : Free MMS
            --APN : mmsfree
            --MMSC : http://mms.free.fr
            --MCC : 208
            --MNC : 15
            --Type d'APN : mms

            Pas sur que parce qu'il y actuellement une faille, tu doives te priver definitivement des mms…

            • [^] # Re: MMS oups

              Posté par . Évalué à 3. Dernière modification le 28/07/15 à 15:09.

              bof tout le monde utilise whatsapp maintenant.

              (c'était censé être ironique au départ mais en fait à y réfléchir bien ça ne l'est pas, je ne me rappelle pas depuis combien de mois/années je n'ai pas reçu de mms).

              Pas sur que parce qu'il y actuellement une faille, tu doives te priver definitivement des mms…

              En attendant ce n'est pas idiot. Vu que d'autres sources upstream touchées comme Mozilla ont déjà corrigé le bug, ça ne devrait pas forcément être hyper compliqué pour que quelqu'un devine comment l'exploiter…

              • [^] # Re: MMS oups

                Posté par . Évalué à 1.

                J'ai bien préciser "définitivement"

              • [^] # Re: MMS oups

                Posté par (page perso) . Évalué à 7.

                je ne me rappelle pas depuis combien de mois/années je n'ai pas reçu de mms

                Parce que tu en as déjà reçu ?

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: MMS oups

                  Posté par (page perso) . Évalué à 5.

                  Parce que tu en as déjà reçu ?

                  Possiblement sans le savoir, car la plupart des smartphones les affichent et les gèrent dans une même interface. Plusieurs destinataires → part souvent sous forme de MMS. Emoji ou autre smiley non-textuel → souvent un MMS.

                  • [^] # Re: MMS oups

                    Posté par . Évalué à 6.

                    Effectivement le fait que ce soit intégré fait qu'on s'en rend pas forcément compte, mais en réalité les MMS sont plutot en augmentation, je cite l'arcep:

                    Le nombre de MMS est en forte croissance depuis plusieurs trimestres (+30,7% au troisième trimestre 2014) et représente 1,7% des messages envoyés. La consommation par client est cependant faible (4 MMS par mois en moyenne).

                    http://www.arcep.fr/index.php?id=12689

                    Et ca reste un moyen facile d'envoyer une photo à quelqu'un si on connait pas son e-mail. Ca a son petit usage quoi.

  • # Déjà vu !

    Posté par (page perso) . Évalué à 4. Dernière modification le 28/07/15 à 10:09.

    Cette faille était déjà exploitée dans le film “Non-Stop”, avec Liam Neeson !

    Ok ok, je sors. :)

    alf.life

  • # Attendons de tout lire avant de s'enflammer.

    Posté par (page perso) . Évalué à 9.

    Tout cela reste encore au conditionnel car l'histoire ne dévoile pas encore toute son intrigue. L'annonce complète se fera la semaine prochaine au Blackhat USA 2015 et au DEF CON 23.
    

    Ah oui, Ok.
    J'attend de voir l'annonce complète alors.
    Il y a eu, ces dernières années, tellement d'annonces de faille du genre "C'est la fin du monde, venez à notre conf, on va tout vous dire", pour finir par un simple pétard mouillé… J'attend donc de voir si on est effectivement face à un truc massif, ou si, une fois la conf passée, on pourra conclure qu'en fait, les conditions nécessaires à une concrète exploitation de la faille limite celle-ci à un échantillon faible et pas si inquiétant de téléphone…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.