Faille Stagefright d’Android : le patch de Google est troué

On pensait que Google avait corrigé la faille Stagefright, logée dans une librairie dédiée à la lecture de vidéo et touchant près d’un milliard de terminaux Android. Mais le patch pour Android s’avère insuffisant.

Selon la firme de sécurité Exodus Intelligence, le patch que propose Google pour protéger 950 millions de terminaux Android de la faille Stagefright (CVE-2015-3824) est incomplet. Même après son application, la vulnérabilité reste exploitable. Google a été averti de l’inefficacité du premier patch de Stagefright le 7 août ; le problème a été étiqueté sous un nouvel identifiant (CVE-2015-3864).

Le géant de l’Internet assure avoir déjà envoyé un nouveau correctif à ses partenaires. Les utilisateurs des terminaux Nexus de la firme bénéficieront de ce correctif dans le cadre de la mise à jour mensuelle qu’a récemment décidée de mettre en place le géant de l’Internet. Les autres devront s’en remettre à leur opérateur (Samsung et LG se sont engagés à leur fournir des updates réguliers) ou appliquer le patch par eux-mêmes.

« L’histoire est loin d’être terminée »

L’insuffisance du premier patch a été mise en évidence par Jordan Gruskovnjak, chercheur en sécurité chez Exodus, dont les conclusions sont détaillés dans un billet de blog. Il a réussi à concevoir un exploit qui parvient à déjouer les défenses d’un Nexus 5 patché. Le fondateur d’Exodus, Aaron Portnoy, précise que l’exploit du chercheur de sa société repose sur la même vulnérabilité que celle exploitée à l’origine, « aussi sévère qu’au premier jour où elle été mise au jour ». Le chercheur d’Exodus s’est contenté d’utiliser d’autres valeurs pour parvenir à la corruption de la mémoire. Sur Threatpost, Joshua Drake, l’expert de la société Zimperium qui a le premier mis en évidence la faille Stagefright, explique « selon des sources publiques, bien d’autres problèmes ont été découverts depuis que j’ai dévoilé les bogues dans le processus MPEG-4. J’espère que nous verrons des correctifs sortir régulièrement pour le code de Stagefright (une librairie utilisée notamment par Android pour lire différents formats de vidéo, NDLR) dans les mois qui viennent. L’histoire est loin d’être terminée. »

Signalée à Google dès avril dernier, la faille Stagefright a été dévoilée au grand jour fin juillet et présentée en détails lors de la dernière Black Hat, début août. Cette vulnérabilité permet, via l’envoi d’un MMS conçu sur mesure ou d’un message Hangouts, d’exécuter du code à distance sur un smartphone. Sans intervention de la victime. Les versions d’Android anciennes sont les plus vulnérables (2.2 « Froyo », 2.3 « Gingerbread », 4.0 « Ice Cream Sandwich »), car elles ne bénéficient pas des couches de protection adéquates. Mais les systèmes plus récents – dont Android 5.1.1 « Lollipop » – ne sont pas totalement épargnés

A lire aussi :

Une faille Android permet de remplacer une application légitime par une autre
Certifi-gate, la faille qui ouvre les portes d’Android
Android, un OS mobile sacrément fragmenté