News - Logiciels Libres

Un point sur la faille Android Stagefright

Un point sur la faille Android Stagefright
Bonjour à tous,

Un très sérieux problème de sécurité affecte actuellement la plupart des appareils sous Android. Une faille permet en effet de déclencher l’exécution d’un code arbitraire via un simple MMS.

Google a réagi rapidement, mais...


beaucoup risquent de passer à côté.
En effet, même si le bogue est corrigé dans Android, les constructeurs et opérateurs vont tarder à intégrer le correctif dans les téléphones en circulation.

La faille est en fait décrite comme « pire que Heartbleed », puisque toutes les versions d’Android sont concernées à partir de la 2.2.

La vulnérabilité réside dans Stagefright, une bibliothèque Android en charge de la lecture de certains formats multimédia. Elle a été trouvée par une équipe de chercheurs de Zimperium, qui indique qu’en raison des impératifs de performances au niveau du multimédia justement, le code est rédigé en C++, « plus souvent sujet aux corruptions de mémoire que les langages memory-safe tels que Java ».

Pour les chercheurs, qui ont trouvé la brèche en analysant le code d’Android via l’AOSP (Android Open Source Project), le problème serait le plus sérieux jamais découvert puisqu’il toucherait pas moins de 95 % des utilisateurs de la plateforme mobile. En se basant sur un chiffre d’un milliard d’appareils en circulation, estime donc que 950 millions d’entre eux sont vulnérables, les anciennes versions d’Android étant encore plus exposées.

Le problème de la bibliothèque Stagefright est qu’elle est appelée chaque fois qu’un contenu pris en charge est repéré. Il suffit par exemple qu’un simple MMS arrive sur un téléphone pour qu’elle commence à traiter la photo ou la vidéo qui y est contenue. L’utilisateur n’a pas besoin de réveiller son téléphone et d’aller lire le MMS en question, puisque le travail est effectué en amont.

Que faire ?



Il est possible de contourner le problème pour l'instant en désactivant la réception automatique des MMS, directement dans les paramètres du logiciel de messages (cf la capture prise de mon téléphone à l'instant :

mms_stagefright



Les utilisateurs de CyanogenMod 11 recevront une mise à jour ce week-end. Cyanogen12 est corrigé uniquement dans les versions de développement (appelées Nightly), et aucune information à propos des versions 10 et antérieures de Cyanogen.

:magic: