Stagefright : les patchs contiennent eux aussi une faille de sécurité

 
La firme de sécurité informatique Exodus Intelligence vient de découvrir une faille dans les patchs censés protéger la grave faille de sécurité Stagefright présente dans près de 95 % du parc Android. Les mises à jour qui commencent à être déployées sont en fait inutiles.
StageFright

La faille Stagefright est l’une des plus graves qui aient touché l’écosystème Android puisqu’elle concerne la quasi-totalité du parc de terminaux en service. Pour rappel, cette faille permet à un pirate de facilement prendre le contrôle d’un appareil Android à distance et d’avoir accès à de nombreuses informations personnelles. Pour les plus curieux en détails techniques, nous avions publié un article suite à la présentation de la faille lors de la conférence Black Hat. Lors de cette conférence, Google a annoncé que plusieurs constructeurs comme Samsung, LG, HTC et Sony prévoyaient une mise à jour imminente pour corriger la série de failles. Les mises à jour sont toutes basées sur les patchs écrits par Joshua Drake, l’homme qui a découvert la faille. Malheureusement, l’un de ses patchs contient une faille, découverte par Jordan Gruskovnjak, un chercheur en sécurité de l’entreprise Exodus Intelligence.

 

Des mises à jour qui doivent être mises à jour

En l’état, les mises à jour distribuées par Google et les constructeurs sont donc inefficaces, puisqu’il est toujours possible d’exploiter la faille, même si l’application de détection de la faille (Stagefright Detector) annonce que le terminal n’est plus vulnérable. Google a été mis au courant de cette nouvelle faille le 7 août dernier, mais n’a pas encore annoncé à Exodus l’arrivée d’un nouveau patch. Les équipes de Google ont toutefois bien confirmé la vulnérabilité à travers l’outil de suivi du code source d’AOSP et ont attribué l’identifiant CVE-2015-3864 à cette nouvelle faille. Pour les détails techniques, vous pouvez vous rendre sur le blog d’Exudus qui explique la vulnérabilité du patch.

 

L’outil de détection va être mis à jour

Joshua Drake a annoncé être en train de travailler sur la mise à jour de l’application Stagefright Detector afin de tenir compte de cette nouvelle faille, pour ne pas induire les utilisateurs en erreur en annonçant que leur terminal n’est plus vulnérable alors qu’il l’est encore. Pour le moment, aucune utilisation publique de la faille n’a été détectée, mais son exploit sera publiquement dévoilé le 24 août prochain. À moins que Joshua Drake ne change d’avis face à ce retournement de situation.

 

Très peu de terminaux protégés

Pour le moment, seule la ROM CyanogenMod est protégée depuis la nuit dernière : le code source des versions CM10.1 à CM 12.1 (pour protéger les ROM alternatives utilisant ce code source) ainsi que les versions Nightlies de CM12.1. Pour les appareils n’utilisant pas cette ROM, il va falloir attendre que Google intègre le patch à AOSP et que les constructeurs mettent à jour leur version d’Android. Une étape qui risque d’être longue, puisqu’à ce jour, rares sont les terminaux à avoir reçu la première série de patch pourtant mise en ligne le 6 août dernier. On espère que les politiques de mises à jour de sécurité mensuelles de Samsung et LG, en sautant l’étape de validation par les opérateurs, permettront de gagner du temps. Sinon, c’est le fonctionnement de l’écosystème dans son ensemble qui sera à revoir qui montre en ce moment une certaine inefficacité dans le traitement des failles de sécurité.


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).