Ce que vous devez savoir sur stagefright 2.0

Les derniers mois ont été marqués par de nombreuses incertitudes autour d'une série de problèmes communément appelés Stagefright, un nom qui a été attribué à la plupart des problèmes rencontrés concernant Android dans libstagefright. La société de sécurité Zimperium a publié ce qu'elle appelle Stagefright 2.0, avec deux nouveaux problèmes concernant les fichiers mp3 et mp4 qui pourraient être manipulés pour exécuter du code malveillant sur votre téléphone.

Voici ce que nous savons jusqu'à présent et comment rester en sécurité.

Qu'est-ce que Stagefright 2.0?

Selon Zimperium, une paire de vulnérabilités récemment découvertes permet à un attaquant de présenter à un téléphone ou à une tablette Android un fichier au format MP3 ou MP4. Ainsi, lorsque les métadonnées de ce fichier sont prévisualisées par le système d'exploitation, elles peuvent être exécutées. code malicieux. En cas d’attaque Man in the Middle ou d’un site Web spécialement conçu pour fournir ces fichiers malformés, ce code pourrait être exécuté sans que l’utilisateur ne le sache.

Zimperium affirme avoir confirmé l'exécution à distance et en a informé le 15 août le Google. En réponse, Google a assigné les problèmes CVE-2015-3876 et CVE-2015-6602 à la paire de problèmes signalés et a commencé à travailler sur un correctif.

Mon téléphone ou ma tablette sont-ils affectés?

D'une manière ou d'une autre, oui. CVE-2015-6602 fait référence à une vulnérabilité dans libutils et, comme le souligne Zimperium dans son message annonçant la découverte de cette vulnérabilité, il affecte tous les téléphones et tablettes Android jusqu'à Android 1.0. CVE-2015-3876 affecte tous les téléphones ou tablettes Android 5.0 et supérieurs, et pourrait théoriquement être livré via un site Web ou une attaque de type homme au milieu.

TOUTEFOIS.

Il n'existe actuellement aucun exemple public montrant que cette vulnérabilité a déjà été utilisée pour exploiter quoi que ce soit en dehors des conditions de laboratoire, et Zimperium n'envisage pas de partager l'exploit de validation technique utilisé pour démontrer ce problème à Google. Bien qu'il soit possible que quelqu'un d'autre découvre cet exploit avant que Google ne publie un correctif, les détails de cet exploit demeurant confidentiels, il est peu probable.

Que fait Google à ce sujet?

Selon une déclaration de Google, la mise à jour de sécurité d'octobre corrige ces deux vulnérabilités. Ces correctifs seront réalisés dans AOSP et seront distribués aux utilisateurs de Nexus à partir du 5 octobre. Les lecteurs de Eagle ont peut-être remarqué que les Nexus 5X et 6P que nous avons examinés avaient déjà la mise à jour du 5 octobre installée. Si vous commandez à l’avance un de ces téléphones, votre matériel sera corrigé contre ces vulnérabilités. Des informations supplémentaires sur le correctif figureront dans Android Security Google Group le 5 octobre.

En ce qui concerne les téléphones autres que Nexus, Google a fourni la mise à jour de sécurité d’octobre aux partenaires le 10 septembre et collabore avec les constructeurs OEM et les opérateurs pour fournir la mise à jour dès que possible. Si vous consultez la liste des périphériques corrigés lors du dernier exploit Stagefright, vous avez une idée raisonnable du matériel considéré comme prioritaire dans ce processus.

Comment rester en sécurité jusqu'à ce que le correctif arrive pour mon téléphone ou ma tablette?

Si quelqu'un exploite réellement un exploit Stagefright 2.0 et essaie d'infecter les utilisateurs d'Android, ce qui est très improbable en raison du manque de détails publics, la clé de la sécurité réside dans le fait de prêter attention à l'endroit où vous ' re navigation et ce que vous êtes connecté à.

Évitez les réseaux publics lorsque vous le pouvez, utilisez une authentification à deux facteurs autant que possible et restez aussi loin que possible des sites Web louches. Principalement, des trucs de bon sens pour garder votre sécurité.

Est-ce la fin du monde?

Pas même un peu. Bien que toutes les vulnérabilités de Stagefright soient réellement graves et doivent être traitées comme telles, la communication entre Zimperium et Google pour que ces problèmes soient résolus dans les meilleurs délais a été fantastique. Zimperium a à juste titre attiré l'attention sur des problèmes liés à Android et Google est intervenu pour le résoudre. Dans un monde parfait, ces vulnérabilités n'existeraient pas, mais elles existent et sont traitées rapidement. Je ne peux pas demander beaucoup plus que cela, étant donné la situation dans laquelle nous nous trouvons.