Stagefright : 95 % des terminaux Android victime d’une grave faille de sécurité [MAJ]

Je ne sais pas si ca a été dit mais je viens de vérifier les paramètres de Textra et il y a une option "Stagefright Protection" activée par défaut. Ca rassure un peu

[…] Source: www.frandroid.com […]

Faudrait arrêter avec les trucs comme ça. 5 ans que je suis sous Android, des applis j'en ai cracké énormément, j'ai JAMAIS eu un seul virus ou malware du style sur un de mes smartphones, pourtant je suis pas très prudent alors il faut vraiment être un boulet pour chopper des virus sur Android...

[…] puisqu’elle permet à un attaquant de prendre en partie le contrôle d’un smartphone Android simplement en envoyant un MMS. Le site Android Police a alors contacté Google pour savoir ce que comptait faire la société de […]

####################################################### De toute façon la parade est très simple Il suffit de désactiver la récupération automatique des MMS. Cela permet à l'utilisateur d’accepter ou pas de récupérer le contenu de MMS suivant l'expéditeur

M'en fout j'ai un Htc Dream sous Android donut ;)

Ok, merci de l'information, je n'ouvrirais aucun mms

Ou une rom custom en 5.1.1 ! Powa !

Et si on désactive la récupération auto des mms, on est tranquille !

Quelqu'un peut-il m'expliquer ce passage-là svp ? "Mozilla avec Firefox 38 qui était également touché par la faille auparavant" Parlent-ils de Firefox OS ? De l'app Firefox sur Android ? De Firefox sur Windows ? Et quel est le lien entre Firefox et les MMS... Je comprends rien Merci

mdr ! Google a développé un correctif en 48h. Chez apple, c'est combien ? 9 mois ?

"Cette bibliothèque a été développée en C++ et non en Java, ce qui explique la gravité de la faille" Ah bien merde toutes les applis en C++/C sont une faille alors.... La phrase citée si dessus me dérange, ce n'est pas parce qu'on utilise un langage particulier que la faille est plus importante ! Le problème ici c'est que le parcours/écriture de la mémoire n'est pas bloqué apparemment l'application et encore moins par le système. D'après la source, la bibliothèque charge directement le fichier dans la galerie (ça c'est en temps normal), et c'est la que le code est injecté. Donc si je comprends bien la lib à accès à la mémoire de la galerie photo en écriture pour pouvoir y injetcter les MMS, et aussi du code malveillant.

Ha oui on n'est plus sur ce sujet là en effet ;)

Mes amis m'envoient des snaps. Les MMS vidéo c'est has been ;D Bien content de pas utiliser Hangouts pour le coup.

Je n'ai jamais prétendu le contraire. Seulement, la faille dont il est question dans cet article est dans du code natif. Par contre, la compilation JIT effectuée par ART (disponible sur Kit Kat également, pas uniquement sur Lollipop) ne change pas grand chose à la question.

Ce qui reste un usage à la marge. Surtout avec la compilation à l'installation qui est effectuée sur Lollipop.

ah

ok merci, du coup, snif :(

C'est le langage le plus répandu sur le système, c'est différent. Windows fournit une plateforme pour faire tourner des applications C#, pourtant, ce n'est pas un langage natif (sur Windows n'importe quel autre système) pour autant. Les seuls langages natifs sur Android sont l'assembleur, le C et le C++. Ce n'est pas pour rien que les outils Java sont regroupés dans le SDK (Software Development Kit), contrairement aux outils permettant de faire du C, qui eux sont dans le NDK (Native Development Kit).

Tu résumes ça bien mieux que moi ;)

Bien sûr, mais limités par une gestion plus abstraite de la mémoire.

Android fourni une plateforme pour faire tourner des applications Java, en ça c'est le langage natif du système. Pas celui utilisé pour faire ces mêmes briques systèmes.

Fait attention, les pirates cache souvent leur numéro de compte. Étant au courant des fait de piraterie, ils sont souvent plus prudent ce qui explique ces numéros masqué!

Normalement, c'est Tim Cock qui s'en occupe : D

Ou un motorola V547 :D

Ne pas utiliser Hangouts permet de réduire le risque puisque le MMS n'est pas lu automatiquement. Mais (dans le pire des cas) si un de tes amis est touché par le trojan, et que les pirates envoient des MMS vérolés en masse aux contacts, tu pourrais te faire avoir en pensant ouvrir un MMS de l'un de tes amis.

Bonzour Chruck, Je sui un riche éritié kenyan, mai pour évité de payé des taxs, j'aimeré fair transité l'argen sur votre conte en france. bien sur vous prendriez 10% de la somme pour le service rendu soi 20.000€ pour vou sur le 300.000. pour se faire il faut m'envoyer un virement des frai de dossié de 2000 euro environ par western union. merci.

RDV le 5 aoùt, ça va être drôle si c'est si facile

C'est clairement moins rentable que les Ransomware, et tellement plus génant :/

J'avais au départ mis 5.x et je me suis dit que 5.1 serait plus parlant, en prenant également en compte 5.1.1. Mais je me suis fait mal comprendre, donc en effet, c'est de 2.2 à 5.1.1 :)

Désolé, j'avais oublié de citer la source.

Si tu pars comme ça on peut dire que le réchauffement climatique c'est la faute à la couche d'Ozone qui ne laisse pas les gaz à effet de serre s'échapper :P C'est principalement grâce au fait qu'on soit dans une machine virtuelle qui empêche ce type d'attaque en Java. Au pire le dépassement sera interne à l'application. Il y a tout de même des cas de buffer overflow possible, mais très peu probable : * Tu appels du code natif avec JNI * Le compilateur fait mal son travail * La JVM a une faille

En sachant que la JVM elle-même comporte des bugs (je suppose qu'il en existe également sur Dalvik et ART…), que la plupart des API du JDK accédant au matériel (pour du son ou autre) utilisent JNI et font donc appel à du code natif… il y a bien évidemment des possibilités de dépassement de tampon en Java.

MDR

Ce n'est pas une façon de voir les choses, c'est la définition d'un langage natif. C'est un peu comme si tu me disais que ton climatiseur portatif était réversible parce que tu peux le prendre et le retourner. Dans l'absolu c'est vrai. En pratique, ce n'est pas le sens du groupe "climatiseur réversible"...

Pas directement mais c'est en lien car le Java gère son allocation mémoire, et donc pas besoin d'équivalent au malloc.

C'est une façon de voir les choses, le C est comme d'autres langages compilés un langage "natif" pour tous les processeurs existants dans ta définition... Le Java est "natif" dans le sens de l'usage, pas technique bien évidement.

Donc si je résume, il faut être en messagerie par défaut autre que hangouts et ne pas accepter les mms ? Ou du moins ceux dont l'on ne connaît pas l'expéditeur ?

z'ont intérêt de faire vite sinon on sera tous foutus.

[…] By Vincent […]

donne moi ton num si tu veux en avoir le coeur net ...

Le problème est déjà réglé sur le store. Plus aucune application ne peut utiliser la faille.

Ahah tu te voiles la face. Tout le monde en parle.

Le S4 est un ex-HDG, pas sûr qu'un galaxy core ou ace reçoivent encore des mises à jour.

Beaucoup de téléphones de plus de deux ans sont toujours mis à jour régulièrement. Le Galaxy S4 reçoit par exemple toujours des correctifs de sécurité, sorti il y a plus de deux ans. C'est là qu'on se rend compte qu'acheter des marques chinoises qui dans deux ans auront disparu, c'est pas forcément rentable, à terme...

Bah oui bien sûr. Les gens que ce genre de failles intéressent savent où les trouver, beaucoup de communication ou non...

oui c'est sur je ne pense qu’égoïstement a moi même ^^

source? a part des journalistes qui courent apres les clicks et font du copier/coller entres eux on n'a riende vraiment tangible. y'a juste "un mec qu'a dit que" sur son blog et qui termine par la conclusion qu'il faut acheter son produit (zIPS) pour être a l'abris du hack...et si peu ca suffit pour arroser la planète avec l'info ? vrai ou pas on n'en sait rien et c'est surtout trop tôt pour en faire autant de buzz. Pourquoi Zimperium annonce ca maintenant ? Dans tout les hacks/exploits y'a l'aspect théorique et ensuite la réalité pratique de mise en oeuvre , c'est ce dernier point qui est le plus important et ca c'est l'inconnu pour le moment. En plus la presse rapporte que 95% des terminaux sont vulnerables mais ne précise pas comme c'est indiqué dans le blog que seuls 11% n'ont pas de "mitigations". A l'arrivée, quand on aura les détails, ca risque d'être bénin sauf peut-être sur de tres vieux terminaux (qui par ailleurs sont deja vulnerables et ce tres facilement de toute facon) mais le type aura fait sa pub pendant une bonne semaine... On verra le 5 août sauf si Google nous en dis plus avant. En tout cas sur la base Mitre y'a rien pour le moment. Les CVE en question sont juste des réservations. Apres au royaume des aveugles les borgnes sont rois.

Il y en a quand même qui se feront avoir, y a qu'à voir le nombre de personnes qui répondent aux mails type "vous avez été sélectionné pour..." ou "félicitations vous avez gagné un chèque de 1000€".

Et puis évidemment le législateur qui n'y connait rien aurait pu inscrire au titre d'obsolescence programmée l'infraction pour défaut de mise à jour de corrections de failles de sécurité d'un système d'exploitation, mais non tout va bien.

oui enfin du coup sachant ça si t'as un mms inconnu t'as moyen d'agir...

non ça n'arrive jamais ça ^^

Exact, le processus est simplement ralentit mais le risque est toujours là.

Je suis bien d'accord avec toi. J'estime pour ma part que les terminaux Android devraient bénéficier de mise à jour de sécurité durant au moins 3 ans, quitte à mettre à jour la rom. On parle quand même de terminaux qui sont de plus en plus utilisés pour des opérations sensibles. Mais bon, cela n'est pas compatible avec le modèle économique des fabricants, qui se font leur beurre sur un renouvellement constant de ces appareils (business is business), appareils sont souvent subventionnés et renouvelés en même temps que l'abonnement (ce qui explique en partie pourquoi la durée du support est si courte).

J'ai lu dans un article anglais que c'etait le cas qu'avec hangout pour les autres messageries il faut ouvrir le mms manuellement...

C'est idiot. Ne plus déployer de MàJ pour avoir une nouvelle interface ou 2-3 fonctions en plus ok mais là on parle d'une faille de sécurité, il devrait y avoir des exceptions pour ça même si ça ne plaît pas aux constructeurs.

Voilà, ça ralentit juste le processus mais ça n'empêche pas l'infection. C'est l'OS qui doit être mis à jour, puisque la faille se trouve au niveau des bibliothèques. Autant dire qu'énormément de smartphones vont se trainer cette faille à vie (à moins d'opter pour une rom alternative, faute d'obtenir une nouvelle rom custom).

Non ça ne touche pas seulement Hangouts. Si tu utilises Hangouts, tu n'as pas besoin de lire/ouvrir le MMS pour être infecté contrairement aux autres apps de messagerie. En gros sans Hangouts ça ralentit juste le processus.

Malheureusement, et même pas besoin d'aller jusqu'à 2.2. Quand on voit que hormis les Nexus, les fabricants mettent des plombes pour mettre à jour des smartphones considérés comme récents (en gros des smartphones ayant moins de 18 mois), il ne faut pas trop se faire d'illusion pour ceux qui sont plus "vieux".

Personne ne le sait et ne communique là dessus donc on s'en fout.

Les constructeurs vont se bouger que pour les modèles les plus récents, je doute que les terminaux sous 2.2 voient un jour la couleur du correctif. M'enfin ça n'a rien de nouveau ça.

Ouai, mais bien sûr, corriger une faille par une autre faille encore plus béante faut oser :p http://www.lemondeinformatique.fr/actualites/lire-4-nouvelles-failles-inquietantes-dans-ios-et-osx-61519.html

Je ne suis pas un spécialiste, mais si cela ne concernait que Hangouts il suffirait de mettre à jour cette application (via le Play Store). Or là, la faille se trouve au niveau de l'OS et plus précisément des bibliothèques. Donc mettre à jour Hangouts, ou utiliser une application concurrente, cela ne servira à rien, c'est Android qui doit être mis à jour. Et malheureusement, je crains qu'énormément de smartphones vont se trainer cette faille à vie, puisque leur rom ne sera jamais mis à jour par les fabricants.

Du tout

J'ai trouvé l'antidote à ce malware qui sera toujours un problème chez les constructeurs qui arrêtent les mises à jour : iOS !!!

Sur cet article ils disent que ça concerne uniquement Hangouts, c'est vrai ? http://korben.info/la-faille-android-qui-permet-dinfecter-un-telephone-avec-un-simple-mms.html Ce serait simple à corriger dans ce cas non ?

en hack qui permet d'accéder à tous les contenues d'un appareil endessous de Android 5.1.1. avec un simple mms qui est actif même si on n'ouvre pas le fameux mms ? tu apples ça une faille sans gravité ? lorsqu'il faut attendre 8 mois en moyenne pour avoir une mis à jour des constructeurs et qu'on veut 1 milliard de smartphone android tous les mois ?

le gros problème comme l'article l'a très bien souligné est le manque de mis à jour des constructeurs .

ou l'avantage d'avoir ios :D

mouais j'attend les details du 5 aout ca sent encore le FUD pour faire du click... De l’irresponsabilité des pseudo-journalistes d'aller relayer la moindre news sans en vraiment comprendre la portée et la gravité. D'autant que le timing en terme de comm/pub pour Zimperium est plus que louche...

Et moi je vois pas non plus à quel moment j'ai écrit que cela me dérangeait ?

Ben ils font leur boulot, quoi... Je vois pas en quoi ça te dérange.

[…] Lire la suite sur www.frandroid.com… […]

Ils proposent des services de sécurité aux entreprises donc oui ce genre de "pub" favorise les contrats.

Le garbage collector n'a rien à voir avec les dépassements de tampon...

À ton avis, ils vont gagner des sous comment, là-dessus ? Google a déjà été prévenu, la faille est réglée côté AOSP. Ils ont sans doute touché une récompense de Google, pour ça. Mais ils l'auraient touché sans publication annexe dans tous les cas. Ça leur fait de la pub, ok. Et après ?

C'est dans l'intérêt de la boite qui "aurait" trouvée la faille https://play.google.com/store/apps/details?id=com.zimperium.zshellshock&hl=fr&referrer=utm_source%3Dgoogle%26utm_medium%3Dorganic%26utm_term%3Dzimperium&pcampaignid=APPU_1_54u2VfjPG4blUoufgIAJ

C'est là qu'on verra la différence entre une marque qui respecte ses clients, et le reste...

Peut-être qu'il n'as pas besoin de MàJ de sécurité. Apres une maj majeure c'est autre chose

C'est pas faux mais on sait bien que des marques comme Alcatel, Wiko etc. vont ricanner et passer à leur prochain smartphone.

Si cela peut leur rapporter des sous!! https://play.google.com/store/apps/details?id=com.zimperium.zshellshock&hl=fr&referrer=utm_source%3Dgoogle%26utm_medium%3Dorganic%26utm_term%3Dzimperium&pcampaignid=APPU_1_54u2VfjPG4blUoufgIAJ

Pour eux oui !! Car ce que ne dit pas l'article, c'est que Zimperium est une société spécialisée en service de sécurité sur ios/android. https://play.google.com/store/apps/details?id=com.zimperium.zshellshock&hl=fr&referrer=utm_source%3Dgoogle%26utm_medium%3Dorganic%26utm_term%3Dzimperium&pcampaignid=APPU_1_54u2VfjPG4blUoufgIAJ

Tu te trompes sur la définition de natif. Le binaire résultat de la compilation d'un programme C est interprétable par le processeur au même titre qu'un binaire résultat d'une compilation de code assembleur (pour être plus précis, le code C lors de la compilation est d'abord converti en assembleur, puis ce dernier est assemblé en un exécutable comme s'il avait été rédigé dès le début en assembleur). C'est en ça que le C *est* un langage natif. Le Java, malgré sa phase de compilation plus simple que le C (en gros, seul l'équivalent de la première phase, C -> assembleur, est faite, Java -> bytecode), doit être à l'exécution interprété par une machine virtuelle Java (Dalvik ou ART sur Android, donc). C'est en ça qu'il *n'est pas* un langage natif. Le fait qu'un langage soit natif ou non n'a rien à voir avec la partie "préparation" du code écrit en ce langage, mais dépend uniquement de la manière dont il est exécuté.

Oui enfin mon vieux xperia Arc même dans sa période des 18 mois, il n'a pas reçu grand chose en maj...

C'est le langage exécuté par l'ensemble des applications donc bon... :) Mais oui, le système n'est pas codé en java, bien évidement. Mais seul l'assembleur est natif comme je l'explique, le C nécessite une complexe compilation avant d'être interprété.

Même pas sur un vieux tel sous 2.3.6 impossible de mettre à jour play services du coup j'imagine que je passe à côté des maj de sécurité...

Genial ... je prie pour un correctif via xposed ou un truc dans le genre, sinon je peux toujours courir avec mon smartphone chinois en custom rom. Et pour le coup les hackers sont un peut des connards de la diffuser aussi vite.

Oui donc là si c'est ça je suis sûrement touché, et c'est une belle erreur de rédaction de FrAndroid :(

En même temps, s'ils ne menacent pas de dévoiler, aucun constructeur ne se bougera, donc bon... À vouloir jouer au plus con, autant jouer à fond et espérer faire réagir les constructeurs un peu plus vite.

Non, c'est plus bas niveau que les Play Services. Mse à jour de la ROM obligatoire.

On a maintenant le choix entre un système bugé (Lollipop) ou faillible (KitKat). Merci Google.

Non maj constructeur le S4 reçoit toujours des MàJ de sécurité donc bon. Si samsung peux le faire les autres le feront aussi.

"Pourtant, le temps presse puisque la faille sera publiquement dévoilée le 7 août." Et donc ils peuvent pas faire ça plus discrètement et la divulguer à ceux capable de la corriger pour faires des MAJ OTA silencieuses ?!

Tout à fait, d'ailleurs le noyau d'Android est un noyau Linux écrit en C.

Quand la rivière coule rouge, il faut savoir emprunter le chemin boueux

A voir si Google à la possibilité de faire passer ça via les Google Services, seul moyen de déploiement large.

Si c'est déployé via le playstore, oui. Sinon j'en doute fortement ^^

Ils ont dit 5.1 pour parler de la dernière version je pense, car sur un autre site (01.net) ils disent "les versions d’Android depuis 2.2 jusqu’à maintenant sont des cibles potentielles"

Plus de mise a jour majeur, mais ils recevront toujours des màj de sécurités

90% des téléphones de plus de 18 mois ne recevront plus aucune maj, et la plupart des téléphones qui auront droit au correctif, ou seulement plusieurs mois après car acheté en pack opérateur et ceux ci ne se bougeront pas. Donc sur les 95% d'appareils touchés, cbn recevront effectivement un correctif ? 10 % ? ou même moins

Salut, ChuckNoris tu as étais tirer au sort à la loterie MSN Microsoft envoie ton compte bancaire pour touché la sommes de 75.000€

Ben je suis au-dessus de 5.1 donc je me suis dis que la faille avait été corrigée dans 5.1.1

Le Java n'est techniquement parlant pas natif. Le bytecode est interprété par une machine virtuelle, Dalvik ou ART. Ce n'est pas parce qu'il est le langage le plus répandu sur la plate-forme qu'il en devient natif. Un langage dit natif, c'est que l'exécutable est directement interprétable par le processeur. Ce qui n'est *pas* le cas du Java.

En même temps, s'ils ne menacent pas de dévoiler, aucun constructeur ne se bougera, donc bon... À vouloir jouer au plus con, autant jouer à fond et espérer faire réagir les constructeurs un peu plus vite.

Yay, mon Galaxy Spica est sain et sauf ! Plus sérieusement, je ne pense pas que la 5.1.1 soit épargnée, la faille a été révélée il y a quelques jours à peine, de ce que je comprends.

"Dans le cas présent, l’ensemble des terminaux Android à partir de la version 2.2 du système jusqu’à Android 5.1 Lolliop" En quoi est ce que tu ne serais pas touché ? ^^ tu ne serais pas toucher uniquement si tu avais un téléphone avec Android < 2.2 (ce qui représente 5% des appareils apparemment )

"L’attaquant peut ensuite écouter le microphone, voler les fichiers, lire les e-mails et récupérer des informations personnelles." C'est une "Faille" Powered by la NSA non? ^^ Ils vont dévoiler le 5 août en sachant très bien que même pas 5% des téléphones vont être mis à jour pour corriger la faille, très malin...

Ce qui n'a aucun sens non plus, si je puis dire. Le java EST le langage natif d'Android. Le cœur du système est lui codé en C/C++ et assembleur. Si un langage "natif" voulait dire "bas niveau", alors seul l'assembleur serait le plus adapté. Quoi qu'il en soit, qui dit bas niveau, dit gestion de mémoire manuelle et donc potentielle aux dépassements. Là où le Java s'en prémuni par sa gestion du garbage collector qui a un autre coût...

Pas de source?

Bah pourquoi tu cache les numéros de ton compte ? je voulais donner, mais ça m'a refroidi du coup...

ou un Xperia Z3 Compact :D

Yeah l'avantage d'avoir le dernier Nexus :D

Ca n'avait aucun sens " Cette bibliothèque a été développée en C++ et non en Java, ce qui explique la gravité de la faille, puisque ce langage de programmation peut plus facilement créer une vulnérabilité grâce à la mémoire vive pour permettre à un attaquant d’exécuter du code." alors j'ai été lire la news sur 01.net "Afin de gagner en vitesse, cette librairie est implémentée en langage natif, à savoir le C++, ce qui expose davantage le système à une corruption mémoire." Et là c'est beaucoup mieux, on comprend la contrainte (optimisation) et le pourquoi (pas de bac à sable).

Attention, FrAndroid va devenir payant ! Envoi ce message à 500 contacts sinon ton compte sera fermé ! Ou envoi 500 euros sur le compte FR76 xxxx xxxx xxxx xxxx xxxx xxx !

Celle qu'on utilise en cas d'alerte rouge... tmtc XD

c'est pas passé loin... :D

Test de clavier ?

Ouf pas touché ! (5.1.1) powa !!!

En tout cas les utilisateurs se font bien prendre par la porte arrière.

C'est pas carrément une backdoor à ce niveau là ? <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

gdgg <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

mapiangue<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Bonjour Jonquera, Vous avez été choisi pour une expérience hors du commun au sein des locaux de l'entreprise dont je suis le CEO : Microsoft. Pour y participer, veuillez m'envoyer votre numéro de carte bleue ainsi que le cryptogramme de sécurité à l'adresse suivante : jevaistemangertoutcru@gogol.is Merci d'avance, je peux vous assurer que vous ne le regretterez pas une seconde ! Cordialement, Steeve Jobs Bon, là, ça se voit quand même... Non non, le fait pas Jonquera, c'est une blague, hein ;)

C'est étonnant qu'Android ne soit pas encore plus victime de ce genre de hack vu le potentiel d'un smartphone (infos personnelles, paiement...etc) Après vu le nombre de gogo qui se laissent avoir par un simple e-mail peut être que c'est moins rentable de chercher des failles au final ^^