Android 'stagefright' exploit: ce que vous devez savoir

En juillet 2015, la société de sécurité Zimperium a annoncé qu'elle avait découvert une "licorne" d'une vulnérabilité dans le système d'exploitation Android. Plus de détails ont été rendus publics lors de la conférence BlackHat au début d'août - mais pas avant les gros titres déclarant que près d'un milliard d'appareils Android pourraient potentiellement être achetés sans même que leurs utilisateurs le sachent.

Alors qu'est-ce que "Stagefright"? Et avez-vous besoin de vous en préoccuper?

Nous mettons continuellement à jour ce message à mesure que d'autres informations sont publiées. Voici ce que nous savons et ce que vous devez savoir.

Qu'est-ce que Stagefright?

"Stagefright" est le surnom donné à un exploit potentiel qui vit assez profondément dans le système d'exploitation Android lui-même. L'essentiel est qu'une vidéo envoyée via MMS (message texte) pourrait théoriquement être utilisée comme une voie d'attaque via le mécanisme libStageFright (d'où le nom "Stagefright"), qui aide Android à traiter les fichiers vidéo. De nombreuses applications de messagerie textuelle - l'application Google Hangouts a été spécifiquement mentionnée - traitent automatiquement cette vidéo afin qu'elle soit prête à être visionnée dès que vous ouvrez le message. Ainsi, l'attaque pourrait théoriquement se produire sans que vous le sachiez.

Étant donné que libStageFright remonte à Android 2.2, des centaines de millions de téléphones contiennent cette bibliothèque défectueuse.

17-18 août: il reste des exploits?

Juste au moment où Google commençait à déployer des mises à jour pour sa ligne Nexus, la société Exodus a publié un article de blog disant avec sarcasme qu’au moins un exploit restait sans correctif, ce qui impliquait que Google se soit plié en quatre. Une publication britannique, The Register, cite un ingénieur de Rapid7, selon lequel le prochain correctif viendra dans la mise à jour de sécurité de septembre, qui fait partie du nouveau processus de correction de sécurité mensuel.

Google, pour sa part, n'a pas encore adressé publiquement cette dernière revendication.

En l'absence de plus de détails pour celui-ci, nous sommes enclins à croire qu'au pire, nous sommes de retour à nos débuts: il y a des failles dans libStageFight, mais il y a d'autres couches de sécurité qui devraient limiter la possibilité d'appareils effectivement exploité.

Un 18 août. Trend Micro a publié un article de blog sur une autre faille de libStageFright. Il a ajouté qu'il ne disposait d'aucune preuve d'utilisation réelle de cet exploit et que Google avait publié le correctif pour le projet Open Source Android le 1er août.

Nouveaux détails de Stagefright au 5 août

Parallèlement à la conférence BlackHat à Las Vegas, au cours de laquelle plus de détails concernant la vulnérabilité de Stagefright ont été divulgués publiquement, Google a abordé la situation de manière spécifique. Adrian Ludwig, ingénieur en chef de la sécurité pour Android, a déclaré à NPR qu '"actuellement, 90% des appareils Android possèdent une technologie appelé ASLR activé, qui protège les utilisateurs du problème."

Ceci est très contraire à la ligne "900 millions d’appareils Android sont vulnérables" que nous avons tous lus. Bien que nous n'allions pas entrer dans une guerre de mots et de pédantisme autour des chiffres, Ludwig disait que les appareils fonctionnant sous Android 4.0 ou version ultérieure - ce qui représente environ 95% de tous les appareils actifs dotés de services Google - sont protégés une attaque par débordement de tampon intégrée.

ASLR (optimisation de la trajectoire) est une méthode qui empêche un attaquant de rechercher de manière fiable la fonction qu'il souhaite essayer d'exploiter en agencant de manière aléatoire les espaces d'adresses mémoire d'un processus. ASLR est activé dans le noyau Linux par défaut depuis juin 2005 et a été ajouté à Android avec la version 4.0 (Ice Cream Sandwich).

Comment est-ce pour une bouchée?

Cela signifie que les zones clés d'un programme ou d'un service en cours d'exécution ne sont pas toujours placées au même endroit dans la RAM. En mettant les choses en mémoire au hasard, tout attaquant doit deviner où chercher les données qu'il souhaite exploiter.

Ce n'est pas une solution parfaite, et même si un mécanisme de protection générale est bon, nous avons toujours besoin de correctifs directs pour lutter contre les exploits connus lorsqu'ils se présentent. Google, Samsung (1), (2) et Alcatel ont annoncé un correctif direct pour Stagefright, et Sony, HTC et LG ont annoncé qu'ils publieraient des correctifs de mise à jour en août.

Qui a trouvé cet exploit?

L’exploit a été annoncé le 21 juillet par la société de sécurité mobile Zimperium dans le cadre de l’annonce de sa fête annuelle à la conférence BlackHat. Oui, tu l'as bien lu. Cette "Mère de toutes les vulnérabilités Android", comme le dit Zimperium, a été annoncée le 21 juillet (une semaine avant que quiconque ne décide de s'en soucier, apparemment), et quelques mots plus loin encore, la bombe encore plus grande de "Le soir du 6 août, Zimperium basculer la scène de fête de Vegas! " Et vous savez que ça va être un rager parce que c'est "notre fête annuelle de Vegas pour nos ninjas préférés", complètement avec un hashtag rock et tout.

Quelle est l'étendue de cet exploit?

Encore une fois, le nombre de périphériques avec la faille dans la bibliothèque libStageFright est assez énorme, parce que c'est dans le système d'exploitation lui-même. Mais comme Google l’a noté à plusieurs reprises, il existe d’autres méthodes qui devraient protéger votre appareil. Pensez-y comme une sécurité en couches.

Alors, devrais-je m'inquiéter de Stagefright ou pas?

La bonne nouvelle est que le chercheur qui a découvert cette faille dans Stagefright "ne croit pas que des pirates informatiques les exploitent à l’état sauvage". C'est donc une très mauvaise chose qu'apparemment personne ne l'utilise contre quiconque, du moins selon cette personne. Et, encore une fois, Google indique que si vous utilisez Android 4.0 ou une version ultérieure, tout ira bien.

Cela ne signifie pas que ce n'est pas un exploit potentiel. Il est. Et cela souligne également la difficulté d'obtenir des mises à jour par le biais de l'écosystème des fabricants et des opérateurs. D'autre part, c'est une avenue potentielle pour exploiter qui existe apparemment depuis Android 2.2 - ou essentiellement depuis cinq ans. Cela fait de vous une bombe à retardement ou un kyste bénin, selon votre point de vue.

Et pour sa part, Google a répété en juillet à Android Central qu'il existait de nombreux mécanismes de protection des utilisateurs.

Nous remercions Joshua Drake pour ses contributions. La sécurité des utilisateurs d'Android est extrêmement importante pour nous et nous avons donc réagi rapidement. Des correctifs ont déjà été fournis aux partenaires et peuvent être appliqués à n'importe quel appareil.

La plupart des appareils Android, y compris les plus récents, utilisent plusieurs technologies conçues pour rendre leur exploitation plus difficile. Les appareils Android incluent également un sandbox d'applications conçu pour protéger les données utilisateur et les autres applications de l'appareil.

Qu'en est-il des mises à jour pour corriger Stagefright?

Nous allons avoir besoin de mises à jour du système pour vraiment corriger ce problème. Dans son nouveau "Groupe de sécurité Android", dans un bulletin daté du 12 août, Google a publié un "Bulletin de sécurité Nexus" détaillant les éléments de sa fin. Il existe des détails sur plusieurs CVE (Common Vulnerabilities and Exposures), y compris lorsque les partenaires ont été notifiés (dès le 10 avril, pour un d'entre eux), de la compilation des correctifs décrits pour Android (Android 5.1.1, build LMY48I) et de tout autre facteur atténuant (schéma de mémoire ASLR susmentionné).

Google a également annoncé la mise à jour de ses applications Hangouts et Messenger afin qu'elles ne traitent pas automatiquement les messages vidéo en arrière-plan "afin que le contenu multimédia ne soit pas automatiquement transmis au processus mediaserver".

La mauvaise nouvelle est que la plupart des gens doivent attendre que les fabricants et les opérateurs leur envoient des mises à jour du système. Mais encore une fois, alors que nous parlons d’environ 900 millions de téléphones vulnérables, nous parlons également de zéro cas d’exploitation connu. Ce sont de très bonnes chances.

HTC a indiqué que les mises à jour à partir de maintenant contiendraient le correctif. Et CyanogenMod les incorpore également maintenant.

Motorola déclare que tous ses téléphones de la génération actuelle - du Moto E au dernier Moto X (et tout le reste) seront corrigés, code qui sera envoyé aux opérateurs à compter du 10 août.

Le 5 août, Google a publié de nouvelles images système pour les Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 et Nexus 10. Google a également annoncé la publication de mises à jour de sécurité mensuelles pour la ligne Nexus de la ligne Nexus. (La deuxième version publiée de l'aperçu M semble également avoir déjà été corrigée.)

Et même s’il n’avait pas nommé l’exploit Stagefright, Adrian Ludwig, de Google, avait déjà évoqué plus tôt les exploits et la sécurité en général, nous rappelant encore une fois les multiples couches impliquées dans la protection des utilisateurs. Il écrit:

Il existe une hypothèse erronée commune selon laquelle tout bogue logiciel peut être transformé en exploit de sécurité. En fait, la plupart des bugs ne sont pas exploitables et il y a beaucoup de choses que Android a faites pour améliorer ces chances. Au cours des quatre dernières années, nous avons beaucoup investi dans des technologies centrées sur un type de bogue, les bogues de corruption de mémoire, et avons essayé de rendre ces bogues plus difficiles à exploiter.