Stagefright, la faille qui pourrait toucher 90 % des téléphones Android


Une entreprise spécialisée en sécurité informatique a annoncé lundi 27 juillet la découverte d’une importante faille de sécurité sur les téléphones équipés de ce qu’elle présente comme « une des pires failles jamais découvertes dans Android ».
Joshua Drake, expert de l’entreprise californienne Zimperium, a trouvé dans le logiciel développé par Google – qui équipe environ 8 smartphones sur 10 et une part croissante des tablettes – des défauts permettant à des pirates de pénétrer dans un très grand nombre d’appareils.
Le défaut repéré par M. Drake se situe dans « Stagefright ». Ce composant d’Android, qui a donné son nom à la faille, permet aux téléphones et tablettes d’afficher photos et vidéos. Il est inclus, par défaut, dans tous les appareils équipés du système d’exploitation « made in Google » et est utilisé automatiquement, sans que l’utilisateur ne le voie, par de nombreuses applications.

Des contours encore flous

Les informations techniques de cette faille n’ont pas été communiquées par l’entreprise. Impossible donc, à ce stade, de connaître avec précision les dégâts que pourrait infliger un pirate qui exploiterait cette faille. Difficile aussi de savoir si cette dernière est facilement exploitable ou si elle nécessite des compétences techniques importantes. Mais Stagefright est un composant majeur d’Android et ce dernier lui confère de nombreuses autorisations, notamment celle de se connecter à Internet, ce qui fait craindre aux experts que la faille permette de prendre le contrôle du téléphone (micro, caméra, connexion Internet) et se propage de téléphone en téléphone.
En effet, si l’on en croit Joshua Drake, il suffirait à un assaillant de faire parvenir à sa victime une image ou une vidéo infectée pour se créer une porte d’entrée dans le téléphone, et ce sans même que l’utilisateur n’ouvre l’image ou la vidéo. De là, et même sans intervention de l’utilisateur, le pirate pourrait insérer dans le téléphone des programmes malveillants. « C’est différent des attaques de phishing, dans lesquelles l’utilisateur doit ouvrir une pièce jointe ou cliquer sur un lien pour que l’attaque réussisse. Ici, il suffit à un attaquant d’envoyer un média par MMS, ce qui ne requiert aucune action de l’utilisateur », a précisé Joshua Drakeau site Business Insider.
L’entreprise Zimperium, qui présentera en détails ses travaux début août lors d’une conférence, a parfaitement joué le jeu médiatique : une communication alarmiste, des détails soigneusement passés sous silence, un logo représentant la faille, réalisé pour l’occasion… Certains experts déplorent un manque de transparence et estiment que l’entreprise en a de toute façon suffisamment révélé pour permettre à des pirates de retrouver – et d’utiliser – cette faille. M. Drake a affirmé que celle-ci n’était pour le moment pas exploitée, sans que l’on sache vraiment comment il est arrivé à cette conclusion.

Des utilisateurs démunis

La quasi-totalité des téléphones et des tablettes Android sont touchés. Cette faille est en effet présente depuis longtemps dans les téléphones Google (plus précisément depuis le printemps 2010 et la sortie de la version 2.2 d’Android), ce qui représente neuf téléphones Android sur dix.
Certaines versions sont plus vulnérables que d’autres, selon M. Drake, et notamment les versions « Ice Cream Sandwich » (4.0) et « Gingerbread » (2.3). A l’inverse, les versions les plus récentes comportent des mécanismes de protection qui devraient limiter l’impact de Stagefright (pour connaître la version d’Android installée sur son téléphone, il faut se rendre dans les paramètres, puis le menu « A propos du téléphone » et « Version d’Android »).
A ce stade, les utilisateurs ne peuvent pas faire grand-chose. Il est possible, dans les paramètres des messages de son téléphone, de désactiver le téléchargement automatique des MMS, ce qui pourrait limiter marginalement la marge de manœuvre d’un pirate tentant d’exploiter Stagefright. Il est également possible d’effectuer un réglage similaire dans l’application Hangout, que certains utilisateurs utilisent pour envoyer et recevoir leurs messages. Mais ces petits pansements ne concernent que les messages : théoriquement, la faille peut être exploitée dès qu’une vidéo est affichée ou reçue sur un téléphone, quel que soit le vecteur (navigation sur le Web, autre application de messagerie).

Un défi pour Android

Stagefright est un défi pour l’écosystème Android en matière de sécurité. Contrairement à Apple par exemple, où la marque qui fabrique les téléphones est la même que celle qui développe les logiciels qui les fait fonctionner, la modification et la correction du code qui fait fonctionner Android dépend d’un grand nombre d’acteurs, parfois peu réactifs.
Ainsi, si Google est le principal auteur d’Android – il a d’ailleurs rapidement corrigé la faille – la version présente sur les téléphones dépend aussi largement des fabricants. Avant de fournir les mobiles à leurs clients, les fabricants modifient, parfois en profondeur, la version mise gratuitement à disposition par Google. La correction de Stagefright pourrait mettre des semaines, voire des mois, à se propager sur tous les téléphones vulnérables, le temps que les constructeurs, et parfois même les opérateurs téléphoniques, prennent en compte les changements.
Un problème s’ajoute à cette multitude d’acteurs : des versions très différentes d’Android sont actuellement utilisées, ce qui démultiplie les démarches que les constructeurs doivent entreprendre pour protéger les utilisateurs. Et certaines versions sont si anciennes qu’elles ne seront vraisemblablement pas protégées contre Stagefright.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Flash CONDOR P6 PLUS PGN-522 MT6735

Image
Flash Condor P6 Plus PGN-522 MEDIATEK MT 6735 1- Cliquer sur le lien de téléchargement 2- Décompresser le fichier ZIP 3- Ouvrir SP FLASH TOOL , naviguez jusqu'au fichier .Scatter 4- Éteindre votre téléphone et retirez la batterie sans le brancher au PC 5- Cliquer dans Sp Flash tool sur Download après avoir sélectionné download only 6-Brancher votre P6 Plus sans la batterie au PC ,si le flashage ne démarre pas mettez la batterie pendant 2 ou 3 seconds. 7- attendre jusqu'à ce que le flash se termine ,puis allumez votre téléphone. Lien de Téléchargement:  http://kanqite.com/F8S2c Mot de passe: hassandz.com by smaindeejay.
Lire la suite

Facebook Gratuit avec Djezzy OTA

Image
Accro à Facebook? on l'est tous ... on dépense beaucoup de data pour l'application Facebook pour Android, Marc a pensé à ces millions d'utilisateurs en ouvrants la porte vers un site facebook qui ne consomme pas beaucoup de données et qui est accecible par téléphone se site porte le nom de Facebook Zéro. Les plus grands fournisseurs d'accès internet mobile dans le monde on pensé à ouvrir les portes de ce site gratuitement pour leurs utilisateurs c'est le cas de IT&T au USA, Orange en pays d'Afrique et europe, et zain en asie. Nos opérateurs Algériens ont garder cette porte fermé pour récupérer un peut de leurs (investissements) en réseau 3G jusqu'à ce que je découvre que Djezzy veut ce faire respecter dans le domaine des IT. Donc pour proceder essayer d'activer les donnés mobiles avec votre terminal Android {tablettes/téléphone} sans se souscrir à aucun forfait internet même avec 0 dinars de crédit. ouvrir votre navigateur internet et essayer d
Lire la suite

Minecraft التطبيق الأكثر تحميلا مجانا

Image
التطبيق الأكثر تحميلا على متجر البلاي ستور للاندرويد نقدمه لكم مجانا على اندرويد زاد انفو  سعر التطبيق على البلاي ستور 3 دولار، لكن في غياب طريقة للدفع في الجزائر و لكوننا فقاقير نقدم لكم ماينكرافت النسخة الكاملة مجانا رابط التحميل المباشر : http://sh.st/fVFEi
Lire la suite