Une nouvelle vulnérabilité Android inquiète le monde de la sécurité et laisse votre téléphone Android extrêmement vulnérable. Le problème se présente sous la forme de six bogues dans un module Android inoffensif appelé StageFright, qui est utilisé pour la lecture des médias.
Les bogues StageFright permettent à un MMS malveillant, envoyé par un hacker, d'exécuter du code malveillant à l'intérieur du module StageFright. De là, le code a un certain nombre d'options pour prendre le contrôle de l'appareil. À l'heure actuelle, quelque chose comme 950 millions d'appareils sont vulnérables à cet exploit.
C'est, tout simplement, la pire vulnérabilité Android dans l'histoire.
Prise de contrôle silencieuse
Les utilisateurs d'Android sont déjà de plus en plus contrariés par la violation, et pour de bonnes raisons. Une analyse rapide de Twitter montre de nombreux utilisateurs furieux surgissent à mesure que les nouvelles imprègnent le Web.
D'après ce que j'entends, même les appareils Nexus n'ont pas reçu de patch pour #Stagefright. A un téléphone? http://t.co/bnNRW75TrD
- Thomas Fox-Brewster (@iblametom) 27 juillet 2015
Une partie de ce qui rend cette attaque si effrayante est qu'il y a peu d'utilisateurs qui peuvent se protéger contre cela. Probablement, ils ne sauraient même pas que l'attaque a eu lieu.
Normalement, pour attaquer un appareil Android, vous devez demander à l'utilisateur d'installer une application malveillante. Cette attaque est différente: l'attaquant doit simplement connaître votre numéro de téléphone et envoyer un message multimédia malveillant .
Selon l'application de messagerie que vous utilisez, vous ne savez peut-être même pas que le message est arrivé. Par exemple: si vos messages MMS passent par Google Hangouts d'Andoid Comment utiliser Google Hangouts sur votre Android Comment utiliser Google Hangouts sur vos Hangouts Google+ Android est la réponse de Google aux salles de conversation. Vous pouvez sortir avec jusqu'à 12 personnes en utilisant la vidéo, l'audio et le chat, ainsi que plusieurs applications optionnelles. Hangout est disponible sur votre Android ... Lire la suite, le message malveillant serait en mesure de prendre le contrôle et se cacher avant que le système a même alerté l'utilisateur qu'il était arrivé. Dans d'autres cas, l'exploit peut ne pas être lancé tant que le message n'est pas réellement affiché, mais la plupart des utilisateurs l'écrivent simplement comme spam. Identifier les numéros inconnus et bloquer les messages de spam avec Truemessenger pour Android Identifier les numéros inconnus et bloquer les messages Truemessenger pour Android Truemessenger est une nouvelle application fantastique pour envoyer et recevoir des messages texte, et il peut vous dire qui est un nombre inconnu et bloquer le spam. Lire la suite ou un mauvais numéro.
Une fois à l'intérieur du système, le code exécuté dans StageFright a automatiquement accès à la caméra et au microphone, ainsi qu'aux périphériques Bluetooth et à toutes les données stockées sur la carte SD. C'est déjà assez grave, mais (malheureusement) ce n'est que le début.
Alors qu'Android Lollipop met en œuvre un certain nombre d'améliorations de sécurité 8 façons de sécuriser votre téléphone Sécuriser votre téléphone en toute sécurité Nos smartphones regorgent d'informations sensibles, alors comment pouvons-nous rester en sécurité? Avec Android Lollipop, qui offre un grand avantage dans le domaine de la sécurité, en apportant des fonctionnalités qui améliorent la sécurité à tous les niveaux. En savoir plus, la plupart des appareils Android exécutent encore des versions antérieures du système d'exploitation. Guide rapide Vers les versions et mises à jour Android [Android] Guide rapide Vers les versions et mises à jour Android [Android] Si quelqu'un vous dit qu'il utilise Android, il ne le fait pas dire autant que vous le pensez. Contrairement aux principaux systèmes d'exploitation, Android est un système d'exploitation étendu qui couvre de nombreuses versions et plates-formes. Si vous souhaitez ... Lire la suite, et sont vulnérables à ce qu'on appelle une «attaque d'escalade de privilèges." Normalement, les applications Android sont "bac à sable Qu'est-ce qu'un bac à sable, et pourquoi devriez-vous jouer dans un Sandbox, et pourquoi Vous jouez en un Les programmes hautement connectifs peuvent faire beaucoup, mais ils sont aussi une invitation ouverte aux mauvais pirates à frapper. Pour éviter que les grèves ne réussissent, un développeur devra repérer et fermer chaque trou dans ... Read More ", leur permettant d'accéder uniquement aux aspects du système d'exploitation qui leur ont été explicitement autorisés à utiliser. Les attaques par escalade de privilèges permettent au code malveillant de "tromper" le système d'exploitation Android pour lui donner de plus en plus d'accès à l'appareil.
Une fois que le MMS malveillant aura pris le contrôle de StageFright, il pourra utiliser ces attaques pour prendre le contrôle total d'appareils Android plus anciens et non sécurisés. Ceci est un scénario de cauchemar pour la sécurité de l'appareil. Les seuls périphériques totalement immunisés à ce problème sont ceux qui exécutent des systèmes d'exploitation plus anciens qu'Android 2.2 (Froyo), qui est la version qui a introduit StageFright en premier lieu.
Réponse lente
La vulnérabilité StageFright a été découverte en avril dernier par Zimperium zLabs, un groupe de chercheurs en sécurité. Les chercheurs ont signalé le problème à Google. Google a rapidement publié un correctif à l'intention des fabricants. Toutefois, très peu de fabricants d'appareils ont réellement intégré le correctif à leurs appareils. Le chercheur qui a découvert le bogue, Joshua Drake, estime qu'environ 950 millions du nombre estimé d'un milliard d'appareils android en circulation sont vulnérables à une forme quelconque de l'attaque.
Yay! @BlackHatEvents a gracieusement accepté ma soumission pour parler de mes recherches sur le StageFright de @ Android! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 20 mai 2015
Les appareils de Google comme le Nexus 6 ont été partiellement corrigés selon Drake, bien que certaines vulnérabilités subsistent. Dans un courriel à FORBES sur le sujet, Google a rassuré les utilisateurs que,
"La plupart des appareils Android, y compris tous les nouveaux appareils, ont plusieurs technologies conçues pour rendre l'exploitation plus difficile. Les appareils Android comprennent également un sandbox d'application conçu pour protéger les données de l'utilisateur et d'autres applications sur l'appareil »
Cependant, ce n'est pas beaucoup de confort. Jusqu'à Jellybean Android 12 Conseils Jelly Bean pour une nouvelle expérience Google Tablet Top 12 Conseils Jelly Bean pour une nouvelle expérience Tablet Android Android Jelly Bean 4.2, initialement livré sur le Nexus 7, offre une excellente nouvelle expérience de la tablette qui surpasse les versions précédentes d'Android. Il a même impressionné notre fan d'Apple résident. Si vous avez un Nexus 7, ... Lisez plus, le sandbox dans Android a été relativement faible, et il existe plusieurs exploits connus qui peuvent être utilisés pour contourner le problème. Il est vraiment crucial que les fabricants déploient un correctif approprié pour ce problème.
Que pouvez-vous faire?
Malheureusement, les fabricants de matériel peuvent être extrêmement lents à déployer ces types de correctifs de sécurité critiques. Il est certainement utile de contacter le service clientèle du fabricant de votre appareil et de demander une estimation du moment où les correctifs seront disponibles. La pression publique va probablement aider à accélérer les choses.
Pour Drake, il a l'intention de dévoiler toute l'étendue de ses découvertes à DEFCON, une conférence internationale sur la sécurité qui aura lieu début août. Espérons que cette publicité supplémentaire incitera les fabricants de périphériques à publier rapidement des mises à jour, maintenant que l'attaque est de notoriété publique.
Sur une note plus large, c'est un bon exemple de pourquoi la fragmentation Android est un tel cauchemar de sécurité.
Encore une fois c'est un désastre que les mises à jour #Android sont entre les mains des fabricants de matériel. Doivent endommager Android sérieusement. #Trac
- Mike (@mipesom) 27 juillet 2015
Sur un écosystème verrouillé comme iOS, un correctif pour cela pourrait être expédié en quelques heures. Sur Android, il peut prendre des mois ou des années pour mettre tous les appareils à jour en raison de l'énorme niveau de fragmentation. Je suis curieux de voir quelles solutions Google va prendre dans les années à venir pour commencer à mettre ces mises à jour de sécurité essentielles hors des mains des fabricants d'appareils.
Êtes-vous un utilisateur Android affecté par ce problème? Préoccupé par votre vie privée? Faites-nous savoir vos pensées dans les commentaires!
Crédit d'image: Clavier rétro-éclairé par Wikimedia