C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.
Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.
La faille se situerait dans la bibliothèque de lecture des fichiers multimédias d'Android. Étant donné que par défaut le MMS s'affiche dès la réception dans une notification, cela suffirait à lancer l'attaque.
Un patch corrigeant cette faille a d’ors et déjà été transmis à Google qui l'a appliqué mais mettre à jour pas moins 950 millions de mobiles (entres autres) ne sera pas une mince à faire et dépendra de la bonne volonté des constructeurs.
À savoir que Firefox serait aussi impacté pour les versions inférieures à la version 38.
Tout cela reste encore au conditionnel car l'histoire ne dévoile pas encore toute son intrigue. L'annonce complète se fera la semaine prochaine au Blackhat USA 2015 et au DEF CON 23.
En attendant voilà une belle publicité pour cette société spécialisée dans la sécurité des équipements mobiles dont le blog à même du mal à supporter la charge actuelle.
# Android != HangOut
Posté par ben51 . Évalué à -6.
En faite ça ne touche que HangOut, donc pour ceux qui ne l'utilise pas il n'y a pas de risque.
Et pour la mise à jour c'est par le store de Google. Donc les constructeurs ne sont pas concerner par le processus (enfin si il n'ont pas désactivé les mises à jours).
Après ça reste une faille importante, mais moins pire qu'une faille de l'OS.
[^] # Re: Android != HangOut
Posté par patrick_g (site web personnel) . Évalué à 10.
C'est faux. Le blog de Zimperium indique bien que toutes les applications qui utilisent le moteur vidéo Stagefright sont impactées. D'ailleurs Firefox (pour les versions inférieures à 38) est aussi vulnérable.
Ce qui est vrai c'est que le vecteur d'attaque le plus probable de ces failles du moteur vidéo passe par un MMS. Donc les logiciels les plus vulnérables sont HangOut et Messenger.
C'est également faux puisque la correction du moteur vidéo Stagefright va nécessiter une mise à jour complète. Le blog de Zimperium indique : fixes for these issues require an OTA firmware update for all affected devices. Such updates for Android devices have traditionally taken a long time to reach users. Devices older than 18 months are unlikely to receive an update at all..
[^] # Re: Android != HangOut
Posté par ben51 . Évalué à -2.
Ok j'avais lu que le problème ne touché que HangOut. Donc effectivement c'est la merde.
[^] # Re: Android != HangOut
Posté par Antoine . Évalué à 2.
Du coup, si on désactive les applis susceptibles de lire des vidéos (Youtube, etc.), est-ce que cela permet de contourner le problème ?
[^] # Re: Android != HangOut
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 31 juillet 2015 à 14:17.
Peut être ? Peut être aussi que :
dans la règle nommée mediaserver.te suffit ? Suffit à tout casser :p
En tout cas, espérons que cette faille oblige les constructeurs à changer leur fusil d'épaule concernant les mises à jour. Pour l'instant, les mises à jour Android c'est vraiment le foutoir. Perso je n'ai acheté que des Nexus et c'est dans ces moments là que je ne regrette pas (mais bon, le nombre de modules proprio ne cessent d'augmenter :-/ passant de 4 sur le magic32b, à 10 sur le N4, maintenant à 14 sur le N6 ! C'est un autre sujet mais c'est inquiétant aussi)
# MMS oups
Posté par bunam . Évalué à 9.
En gros :
- Tu utilises Hangout alors celui-ci "lit" tous les MMS avant même le propriétaire du smartphone, du coup l'attaque est silencieuse et celle-ci peut même effacer le MMS qui a été utilisé pour introduire le code malicieux.
- Tu n'utilises pas Hangout, il faut alors que tu lances la vidéo pour activer l'attaque.
Du coup dans ce monde de dingue le système de mise à jour d'Android n'est PAS DU TOUT adapté…
[^] # Re: MMS oups
Posté par Spack . Évalué à 9. Dernière modification le 28 juillet 2015 à 10:06.
Le MMS est juste un des vecteurs possibles. La faille se situe dans la librairie multimédias qui est un peu l'équivalent de FFmpeg donc potentiellement tout ce qui lit une vidéo sur l'équipement peut être utilisé comme vecteur d'attaque.
Mais il reste à voir en détails de quoi il s’agit vraiment.
[^] # Re: MMS oups
Posté par kowalsky . Évalué à 2.
Et encore, beaucoup de composant ont été déplacé du "system de base" qui doit être mis à jour via OTA dans des packages qui doivent être mis à jour via Play. Mais c'est vrai que ce n'est pas parfait.
[^] # Re: MMS oups
Posté par gnumdk (site web personnel) . Évalué à 3.
Tu peux être sur qu'avec une mauvaise pub comme celle ci, Google va déplacer ce genre de bibliothèques dans des mises à jour via Google Services…
[^] # Re: MMS oups
Posté par Albert_ . Évalué à 3.
Niveau mms je suis tranquille vu que mon tel a toujours refuse de les recuperer. Je suis tout de meme curieux de voir la reaction des constructeurs/opérateurs…
[^] # Re: MMS oups
Posté par patrick_g (site web personnel) . Évalué à 10.
La réaction sera un silence assourdissant (sauf peut-être pour les smartphones encore en vente).
[^] # Re: MMS oups
Posté par ohm . Évalué à 2.
T'as pensé à activer la data ? À configurer ton APN pour les MMS ?
[^] # Re: MMS oups
Posté par Albert_ . Évalué à -8.
Je ne vois pas de quoi tu parles ni la relation entre mon appareil photo numerique et les mms mais bon vu le probleme dont il est question ici meme si il y a une solution pour activer les mms je pense que je vais tres legerement pas l'activer :)
[^] # Re: MMS oups
Posté par quent57 . Évalué à 4.
L'APN ne signifie pas Appareil Photo Numérique mais Access Point Name ici !
C'est le nom d'un paramètre qui permet de configurer la réception de MMS.
[^] # Re: MMS oups
Posté par Grugru . Évalué à 3.
APN pour Access Point Name, rien à voir avec ton appareil photo numerique j'en ai peur. Il s'agit de la configuration pour communiquer avec ton operateur.
Par exemple chez Free, tu dois avoir une config comme celle-ci:
-APN MMS
--Nom : Free MMS
--APN : mmsfree
--MMSC : http://mms.free.fr
--MCC : 208
--MNC : 15
--Type d'APN : mms
Pas sur que parce qu'il y actuellement une faille, tu doives te priver definitivement des mms…
[^] # Re: MMS oups
Posté par Psychofox (Mastodon) . Évalué à 3. Dernière modification le 28 juillet 2015 à 15:09.
bof tout le monde utilise whatsapp maintenant.
(c'était censé être ironique au départ mais en fait à y réfléchir bien ça ne l'est pas, je ne me rappelle pas depuis combien de mois/années je n'ai pas reçu de mms).
En attendant ce n'est pas idiot. Vu que d'autres sources upstream touchées comme Mozilla ont déjà corrigé le bug, ça ne devrait pas forcément être hyper compliqué pour que quelqu'un devine comment l'exploiter…
[^] # Re: MMS oups
Posté par Grugru . Évalué à 1.
J'ai bien préciser "définitivement"
[^] # Re: MMS oups
Posté par claudex . Évalué à 7.
Parce que tu en as déjà reçu ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: MMS oups
Posté par Boa Treize (site web personnel) . Évalué à 5.
Possiblement sans le savoir, car la plupart des smartphones les affichent et les gèrent dans une même interface. Plusieurs destinataires → part souvent sous forme de MMS. Emoji ou autre smiley non-textuel → souvent un MMS.
[^] # Re: MMS oups
Posté par flagos . Évalué à 6.
Effectivement le fait que ce soit intégré fait qu'on s'en rend pas forcément compte, mais en réalité les MMS sont plutot en augmentation, je cite l'arcep:
http://www.arcep.fr/index.php?id=12689
Et ca reste un moyen facile d'envoyer une photo à quelqu'un si on connait pas son e-mail. Ca a son petit usage quoi.
# Déjà vu !
Posté par Kioob (site web personnel) . Évalué à 4. Dernière modification le 28 juillet 2015 à 10:09.
Cette faille était déjà exploitée dans le film “Non-Stop”, avec Liam Neeson !
Ok ok, je sors. :)
alf.life
# Attendons de tout lire avant de s'enflammer.
Posté par Xavier Teyssier (site web personnel) . Évalué à 9.
Ah oui, Ok.
J'attend de voir l'annonce complète alors.
Il y a eu, ces dernières années, tellement d'annonces de faille du genre "C'est la fin du monde, venez à notre conf, on va tout vous dire", pour finir par un simple pétard mouillé… J'attend donc de voir si on est effectivement face à un truc massif, ou si, une fois la conf passée, on pourra conclure qu'en fait, les conditions nécessaires à une concrète exploitation de la faille limite celle-ci à un échantillon faible et pas si inquiétant de téléphone…
[^] # Re: Attendons de tout lire avant de s'enflammer.
Posté par Wawet76 . Évalué à 2.
Black Hat USA 2015 est terminé. Des nouvelles ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.