Blog d'un Éternel Geek

Juste un MMS pour pirater un téléphone Android.

http://vivageek.livehost.fr/data/images/secu/androinfect.png

 

Android est la système d’exploitation mobile le plus populaire est aussi un des plus utilisés sur la planète : selon les sondages 80 % de Smartphones tournent sur Android.

 

Zimperium mobile Security a découvert une faille dans ledit logiciel qui permettrait à des pirates informatiques à l’aide d’un simple MMS d’affecter le téléphone.

 

Juste un MMS.

 

http://vivageek.livehost.fr/data/images/secu/silver-android-wallpapers_p.jpg

 

Non ce ne sont pas des bonbons mais presque pour les pirates qui peuvent utiliser cette faille.

 

 

Pas de grandes techniques à utiliser pour le pirate, la cible n’aura besoin que de recevoir un code malveillant par MMS. Ce qui est très grave c’est que vous n’aurez même pas besoin de lire ou de répondre au téléphone car à partir du moment où grâce à votre au téléphone le pirate vous envoyait ce MMS vous aurait d’ores et déjà l’affection qui va se propager au sein de votre système Android.

 

Selon Joshua Drake : « ce qui le rend si dangereux, c’est qu’il est absolument silencieux, vous ne verrez rien vous ne pouvez même rien voir. »

 

Co-auteur de  Android Hacker's Handbook

 

 

Une attaque sournoise.

 

 

L’attaque fonctionne ainsi : le pirate va créer une vidéo courte, il va cacher à l’intérieur le malware suivis d’un texte puis il envoie le tout à sa victime par téléphone via MMS.

 

Dès qu’il est reçu sur le téléphone cela déclenche une vulnérabilité qui repose sur une fonctionnalité baptisée «Stagefright» et le traitement du malware par le téléphone. C’est grâce à la transmission du message par l'APP Hangout que la vidéo est traitée immédiatement avant même que vous ayez le temps d’y répondre.

 

L’explication est simple cette application va stocker cette vidéo dans la galerie interne du téléphone pour qu’elle soit prête pour l’utilisateur.

Ainsi vous ne perdez pas votre temps à répondre puisque votre vidéo est stockée par Android sur votre mobile grâce à cette application, mais voilà en même temps elle va accepter le malware qui est à l’intérieur.

 

Ce qui serait d’après Drake envisageable c’est que vous soyez obligés de regarder le message textuel avant qu’il traite l’attachement c’est-à-dire la vidéo qui est envoyé avec.

 

Cependant n'étant pas le cas et n'exigeant que ni l’un ni l’autre soit vérifiée, votre média est stocké de toute façon avec son petit virus.

 

 

Break indique qu'une fois les attaquants à l’intérieur de votre mobile ils peuvent faire n’importent quoi :

copie des données les supprimait, accéder à votre microphone ainsi qu’à votre appareil photo comme 1 kg le ferait pour surveiller lorsque vous pianotez sur votre portable et connaître vos déplacements.

 

 

Une solution SVP Monsieur Drake.

 

 

Selon lui, ces vulnérabilités n’affecteraient que les téléphones avec Android actif en service.

 

Il indique également qu'il l’à découvert dans son laboratoire et qu’il ne pense pas que les pirates informatiques l’exploitent encore activement.

 

Il a partagé ses résultats avec Google en avril et mai, et il a également envoyé des corrections afin de patcher le bogue.

 

Malheureusement comme le précise Drake même en ayant reçu une réponse au bout de 48 heures, cela mettra du temps à ce que chaque mobile mettre en place les corrections. Break indique que seulement 20 % sont fixés avec un nombre intimiste de 50 %.

 

Selon Colin Mulliner : « Google n’est pas vraiment à blâmer, c’est finalement le fabricant de téléphones en association probablement avec votre opérateur. »

 

Ce scientifique de recherche à l’université n’est guère optimiste au sujet de cette faille car il précise que 99 % des menaces mobiles par malware au premier trimestre 2014 ont été conçus pour fonctionner exclusivement sur des dispositifs Android.

 

D’après ses dires ce serait du à un marché qui évolue trop rapidement ou les fabricants ne prennent pas le temps de fournir une mise à jour Que c’est une perte de temps et surtout une perte d’argent.

 

Google a publié une déclaration dans laquelle il a dit : « nous remercions Jochua Drake de ses contributions. La sécurité des utilisateurs d’Android est extrêmement importante pour nous et ainsi nous avons répondu rapidement et des corrections étaient fournies aux associés qui peuvent impliquer n’importe quel dispositif Android.»

 

 

Quels sont les solutions possibles.

 

Je vous mets ci-dessous des applications permettant de protéger vos SMS MMS.

Ainsi qu’une application que  j’ai découvert en lisant Korben.

Mais il est clair que la meilleure solution pour l’instant et de supprimer hangout de vos mobiles.

 

http://smssecure.org/

Text Secure

SMS Locker

Lock for Messages

Verrouillage SMS

MESSAGE LOCKER - SMS LOCKER

 

Source : npr.org

 

Merci à bientôt.






 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la troisième lettre du mot zjprja ? :