Connexion
Abonnez-vous

Faille Stagefright : un premier code d’exploitation publié à des fins de tests

Canons chargés

Faille Stagefright : un premier code d'exploitation publié à des fins de tests

Le 11 septembre 2015 à 15h10

Il y a plus d’un mois, la faille de sécurité Stagefright dans Android défrayait la chronique par son extrême dangerosité, au point que Google et d’autres constructeurs avaient annoncé de nouvelles mesures. Plusieurs patchs ont été déployés, mais alors que seule une minorité des smartphones peut être mise à jour, les détails d’exploitation des failles deviennent publics, augmentant le danger.

La faille Stagefright tire son nom d’une bibliothèque Android nommé libstagefright. Un composant crucial puisque responsable de la lecture de nombreux contenus multimédias et pouvant donc être appelé par n’importe quelle application tierce, sans parler des services d’Android proprement dits. Stagefright recouvre cependant un ensemble de plusieurs brèches de sécurité, et les premières mises à jour n’en couvraient qu’une partie.

Une situation peu reluisante

Parallèlement aux patchs, certaines mises à jour d’applications permettaient de contourner en partie le problème. L’exploitation la plus sérieuse pouvait se faire via l’envoi par MMS d’une image ou d’un fichier multimédia contenant une séquence de code conçue spécifiquement pour déclencher l’exécution d’instructions arbitraires. Le contenu était lu par libstagefright avant même que l’utilisateur n’aille voir, pour que le résultat soit présenté directement. En théorie, un pirate pouvait s’attaquer à un smartphone, déclencher ses actions et effacer ses traces en quelques minutes. La mise à jour de Hangouts (qui peut gérer les SMS) bloquait ainsi ce chargement automatique, en attendant que des patchs règlent définitivement la question.

Les patchs, justement, ont commencé à être déployés ces dernières semaines, mais, problématique Android oblige, ils ne concernaient que la dernière révision du système. Conséquence, une vaste majorité (environ 95 %) des appareils pouvant être concernés ne seront pas corrigés, les failles restant exploitables. Or, les détails de ces failles sont maintenant publics, accentuant nettement le danger.

Un premier code permettant d'exploiter l'une des failles

Joshua Drake, vice-président de la recherche chez Zimperium, à l’origine de la découverte initiale, avait promis que ces informations deviendraient disponibles dès que suffisamment de patchs auraient été déployés, dont acte. Drake fournit un code permettant de tester l’exploitation de l’une des failles, celle qui ouvrait la voie d’une attaque silencieuse par MMS. Il fournit un script Python capable de générer un fichier MP4 contenant un code exécutable, et autorisant notamment une exploitation à distance.

Les informations et fichiers ne sont donnés qu’à des fins de tests et se destinent avant tout aux chercheurs, équipes de sécurité et autres administrateurs. Par ailleurs, cette exploitation n’est pas générique. Joshua Drake indique ainsi qu’elle n’a été testée que sur un Nexus (on ne sait pas lequel) exécutant Android 4.0.4. En outre, les conditions d’exécution peuvent varier sensiblement d’une fois sur l’autre, provoquant parfois des échecs. Le test n’est donc pas totalement fiable, mais puisque son auteur ne précise rien d’autre, on peut se demander si ce n’était clairement pas son intention. Il ajoute cependant que la faille exploitée ici est l’une de celles qui étaient moins facilement exploitables sous Android 5.0, grâce à des règles de compilation introduites par GCC 5.0. Cela étant, le problème autour de Stagefright est justement maximal sur les versions antérieures.

Les constructeurs invités à réagir plus rapidement

Mais si fournir les détails de cette faille augmente le danger, pourquoi les publier ? Selon Joshua Drake, la réponse est simple : motiver les constructeurs à fournir des correctifs de sécurité. Tous ne l’ont pas encore fait, et la situation des smartphones un peu anciens pose un vrai souci tant elle est trouble. On rappellera que Zimperium fournit une application capable de détecter la présence des failles et donc d’indiquer à l’utilisateur s’il est en danger. Malheureusement, au-delà de cette information, il ne peut strictement rien faire de plus que d’attendre un patch qui ne viendra peut-être jamais.

Rappelons également que la problématique de la sécurité sur Android a largement été relancée par cette faille aux conséquences encore difficilement cernables, car on imagine mal les pirates renoncer à l’exploitation de brèches disponibles sur des millions d’appareils au cours des prochains mois. Google avait donc communiqué pour annoncer qu’un nouveau cycle allait être mis en place pour diffuser sur une base mensuelle des mises à jour de sécurité, à la manière de Microsoft avec ses Patch Tuesdays.

Android doit encore faire ses preuves sur les corrections mensuelles

Le fait de proposer de telles mises à jour n’est pas une nouveauté en soi, mais la base régulière est bien une rupture. D’autant que Google a insisté sur le travail en cours avec les opérateurs notamment pour que les correctifs puissent naturellement s’écouler vers les utilisateurs, sans que personne n’en ralentisse le processus. Google, Samsung, LG, Motorola, Sony ou encore HTC ont réagi pour s’aligner sur ce nouveau rythme, mais il n’y aura aucun miracle : ces correctifs n’arriveront que pour les appareils récents et disposant de la dernière révision d’Android. Ce qui laissera encore une fois sur le carreau plus de 90 % des appareils.

Nous avons par ailleurs posé la question de ces négociations à Orange, Bouygues, SFR et Free et attendons actuellement un retour de leur part. On notera que Microsoft a plus ou moins promis la même chose avec Windows 10 Mobile, qui intègre Windows Update et est donc censé recevoir des correctifs sur une base régulière. Un problème qui n’existe pas chez Apple puisque les mises à jour sont proposées pour tous les appareils éligibles, au même moment et dans tous les pays. Un processus évidemment facilité par le fait que la firme contrôle le matériel et le logiciel.

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Vous savez si ce code marche avec la dernière mise a jour publiée cette semaine par Google sur les Nexus ?

votre avatar

On rappellera que Zimperium fournit une application capable de détecter la présence des failles et donc d’indiquer à l’utilisateur s’il est en danger. Malheureusement, au-delà de cette information, il ne peut strictement rien faire de plus que d’attendre un patch qui ne viendra peut-être jamais.



Lien dans l’article <img data-src=" />

votre avatar

C’est vraiment la misère les mises à jour d’Android. Mon S4 mini du boulot attend toujours son correctif. Il faut vraiment que les constructeurs et google s’améliore.

&nbsp;Un OS MS est maintenu 10 ans minimum et chez apple si la dernière version d’ios peut s’installer, c’est bon.

&nbsp;

votre avatar







flagos_ a écrit :



Vous savez si ce code marche avec la dernière mise a jour publiée cette semaine par Google sur les Nexus ?





Sur mon N5 d’après l’application de Zimperium mon N5 n’est plus vulnérable avec la dernière mise à jour.


votre avatar

La question se pose pour les produits qui ne sont plus suivis par les constructeurs.

Mon S2 à quand une mise à jour ?



&nbsp;

votre avatar

J’en ai un aussi et à mon avis nous pouvons toujours attendre, il a plusieurs années déjà ce modèle.



Sous Android, de toutes façons, dès que le téléphone se fait vieux, la solution est de se tourner vers une ROM alternative. Parce que perso, hors de question d’acheter un téléphone, je n’aime pas consommer bêtement comme ça, d’autant plus quand le matériel fonctionne très bien…

votre avatar



Joshua Drake indique ainsi qu’elle n’a été testée que sur un Nexus (on ne sait pas lequel) exécutant Android 4.0.4



Donc sur Nexus S ou Galaxy Nexus vu que le N4 est sorti sous JB (4.2) et la N7 sous 4.1. <img data-src=" />

Du coup testé sur du matos qui n’est plus supporté par Google… gulp… ça peut faire mal cette faille! <img data-src=" />

votre avatar







Lypik a écrit :



J’en ai un aussi et à mon avis nous pouvons toujours attendre, il a plusieurs années déjà ce modèle.



Sous Android, de toutes façons, dès que le téléphone se fait vieux, la solution est de se tourner vers une ROM alternative. Parce que perso, hors de question d’acheter un téléphone, je n’aime pas consommer bêtement comme ça, d’autant plus quand le matériel fonctionne très bien…





Tout a fait d’accord avec toi. Mon S2 correspond encore largement à mes besoins. Je ne vois pas l’intérêt d’en changer.&nbsp; En ce qui concerne son ancienneté il ne “date” que de 2011.&nbsp;&nbsp; Et malheureusement je ne suis pas certain qu’une ROM alternative règle ce problème de sécurité.&nbsp;

&nbsp;

&nbsp;édit : problème clavier


votre avatar

“Un problème qui n’existe pas chez Apple puisque les mises à jour sont proposées pour tous les appareils éligibles, au même moment et dans tous les pays. Un processus évidemment facilité par le fait que la firme contrôle le matériel et le logiciel.”

Et chez BlackBerry ? Vous avez essayer juste pour paraître un peu moins….



“Avec next impact, les minorités on les met à la poubelle”, belle leçon d égalité des chances ;)



Et Bbry qui passe bientôt sur Android, on aura le choix entre le caca Apple ou la merde Android, ne reste plus que microsoft ou même jolla qui sent un peu plus la rose que tous les autres réunis :o ?



Toufoulcamp

votre avatar

J’ai aussi un S2, et ça serait quand même étonnant qu’une ROM alternative plus récente comme CM par exemple qui a commencé à publier les versions nightly de la 5.1.1, n’intègre pas de correctifs.



Par contre j’ai testé pendant une courte période une ROM de CM12 non officielle de XDA et elle était assez (voir très) lente, sans parler des petits bug par-ci par-là. Du coup je suis repassé sur la ROM kitkat officielle et c’est le jour et la nuit entre les deux.



J’espère que la version officielle sera plus fluide que celle de XDA…



J’ai fait le test avec Stagefright Detector sur kitkat et j’ai une faille de corrigé sur 6, donc a priori pour la 5.1.1 y’a pas de rasions que ça n’ai pas évolué dans le bon sens.

votre avatar



Mais si fournir les détails de cette faille augmente le danger, pourquoi les publier ? Selon Joshua Drake, la réponse est simple : motiver les constructeurs à fournir des correctifs de sécurité.





Et c’est exactement ce que font les constructeurs. Mais uniquement sur le “nouveau” modèle.



Donc, au final, la réponse est simple: motiver les consommateurs à acheter le “nouveau modèle” sur lequel la faille est corrigée.

votre avatar

Et la montagne a accouché d’une souris…

votre avatar

J’ai un LG G3 avec la rom XenonHD sous Android 5.1.1r18 et le patch de sécurité est bien dedans.

votre avatar

Mon galaxy S2 est sous CyanogenMod 5.1 (build du 2015-09-09) et toutes les failles connus ont été corrigés.

Je trouve que cela tourne pas si mal pour un smartphone de 4ans…

votre avatar







benjarobin a écrit :



Mon galaxy S2 est sous CyanogenMod 5.1 (build du 2015-09-09) et toutes les failles connus ont été corrigés.

Je trouve que cela tourne pas si mal pour un smartphone de 4ans…





Merci de l’information, mais en allant sur l’urlhttps://download.cyanogenmod.org/?device=l900 je ne trouve pas ta référence. Pourrais-tu me passer le lien ? Je ferais l’essai dès que j’aurais un moment de disponible. En tout cas une vrai réussite cet appareil.


votre avatar

Tu m’as donné le lien du Galaxy Note II…

Bref pour moi c’est Ici :https://download.cyanogenmod.org/?device=i9100 Attention de ne pas confondre les différentes versions du Galaxy S2 (i9100 / i9100g, …)

Mais la version du 2015-09-09 n’est déjà plus au téléchargement, je te conseil de prendre la dernière…

Certaines versions peuvent être assez buguées, celle que j’ai est relativement stable, mais encore loin d’être parfait sur une semaine sans reboot.

Si tu veux suivre les versions c’est ici :http://www.cmxlog.com/12.1/i9100/

Faille Stagefright : un premier code d’exploitation publié à des fins de tests

  • Une situation peu reluisante

  • Un premier code permettant d'exploiter l'une des failles

  • Les constructeurs invités à réagir plus rapidement

  • Android doit encore faire ses preuves sur les corrections mensuelles

Fermer