Blog d'un Éternel Geek

La zLabs Team lâche, un script pour tester la faille Stagefright Android

http://vivageek.com/data/images/secu/stagefright.jpg

 

Vous vous souvenez cette faille MMS mise à plat par Mr Drake Joshua qui entache l'utilisation d'hangout.

 

C'est au compte de 8  vulnérabilités découvertes dans la médiathèque d'Android qui a chamboulé le monde, des concepteurs, mobile sur la mauvaise sécurité de leurs applications.

 

L'auteur a mis un article sur Zimperium, le fameux site de sécurité qui rend public la faille Android, mais également fournis un script python établi par ses soins pour tester ladite faille à partir d'un document joint sous forme d'un Mp4.

 

En plus, il nous fournit une vidéo présentant le script en action et comme Proof of concept de la faille.

 

Cependant, pour celles et ceux qui auront eu la rapidité d'esprit et l'intelligence de mettre à jour leurs OS n'auront pas nécessairement à craindre cette attaque.

 

Un script en Python permet d'exploiter la vulnérabilité CVE-2015-1538 à des fins de tests.

 

Quels ont été les moyens mis en œuvre pour enrayer ces vulnérabilités ?

 

D'après Joshua, Google a publié de nouvelles versions de Hangouts et de Messenger pour bloquer le traitement automatique des fichiers multimédias qui arrivent via MMS.

 

"Nous avons testé ses versions mises à jour et nous sommes heureux de confirmer qu'ils empêchent l'exploitation à distance sans assistance. Cependant, cette attaque constitue le pire vecteur, car ce sont plus de 10 façons différentes (navigateurs, messagerie instantanée, etc.) d'envoyer des médias potentiellement malveillants qui sont traitées par la bibliothèque Stagefright. Avec ses autres vecteurs toujours présents, l'importance de la résolution des problèmes au sein de la base de code reste très élevée."

 

Pour Fr Android, seuls les détenteurs d'un Galaxy Nexus sous Android 4.0.4 seraient en réel danger.

 

Le problème réside dans le fait que seul google à déployer un éventail de patch de sécurité valable, et les concepteurs ne proposent encore que des mises à jour de leurs applications liées à Stagefright ayant des failles de sécurité.

 

Il est clair que l'auteur a souhaité en dévoilant l'exploit mettre un coup de pression aux concepteurs afin qu'il se charge véritablement de patcher cette faille.

 

D'ailleurs sur ce fait l'auteur témoigne envers les concepteurs :

" La chose la plus positive sur nos recherches Stagefright serait de réveiller l'écosystème et que les fournisseurs de périphériques et les transporteurs réalisent qu'ils doivent distribuer des mises à jour plus rapidement et plus souvent. L'industrie principale des fournisseurs a clairement indiqué qu'ils ont l'intention de fournir des mises à jour de sécurité sur une base mensuelle. Maintenant que nous sommes confrontés à des vulnérabilités supplémentaires, nous allons voir pour nous-mêmes si nos dispositifs obtiennent ses mises à jour ou non. Dans l'intervalle, les mises à jour portant sur la première série de questions que nous avons divulguée continués à déployer des dispositifs concernés."

 

 

Comment se protéger de cette faille ?

 

Je comprends si vous êtes utilisateur de ce type de produit sous Smartphone, vous avez sûrement peur. Fr. Android rejoint en ce point Joshua et nous conseille de mettre à jour nos Smartphones en espérant que les concepteurs patches au plus vite tout cela.

 

http://vivageek.com/data/images/secu/starfrightdetector.png

 

Ils nous conseillent aussi pour savoir si vous êtes encore vulnérables, d'installer l’application Stagefright Detector (qui est gratuit).

 Enfin, Google a intégré cette application au sein de sa suite CTS (Android Compatibility test Suite) afin d’interdire la commercialisation d’appareils sous Android certifiés affectés par la faille.

 

Stagefright Detector

 

 

 

 

Voici la vidéo qui démontre l'accès de la faille, la compromission permet de devenir Root avec tous les droits d'accès au fichier.

 

 

Conclusion

 

Ces failles sont inquiétantes. Il est clair que de plus en plus l'envoie de fichier malveillant met à rude épreuve la sécurité d'une application. Il prend de l'ampleur, ce type de faille peut entraîner de lourdes conséquences puisque beaucoup font des achats à l'aide de leur mobile.

 

L'expansion de l'utilisation du mobile dans la vie courante en remplacement du portable PC ou de la tablette comme outil de communication web à part entière entraîne un changement des coutumes de piratages. On sent qu'ils ont compris que le web était moins utilisé et que le mobile était dans son premier balbutiement en termes de sécurité.

 

Jusqu'alors laissé tranquille, dans son coin, il est au centre de tous les intérêts et surtout propose de nouveaux vecteurs d'attaque tout neuve aux pirates.

 

Je pense que les concepteurs doivent prendre en compte que le mobile a pris une place importante dans la vie des individus et qu'ils doivent attribuer des possibilités de sécurité en conséquence.

 

Merci de m'avoir lu, à bientôt.

 

Source : frandroid.com , blog.zimperium.com

 






 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la deuxième lettre du mot hjjt ? :