La faille Stagefright est l’une des plus graves qui aient touché l’écosystème Android puisqu’elle concerne la quasi-totalité du parc de terminaux en service. Pour rappel, cette faille permet à un pirate de facilement prendre le contrôle d’un appareil Android à distance et d’avoir accès à de nombreuses informations personnelles. Pour les plus curieux en détails techniques, nous avions publié un article suite à la présentation de la faille lors de la conférence Black Hat. Lors de cette conférence, Google a annoncé que plusieurs constructeurs comme Samsung, LG, HTC et Sony prévoyaient une mise à jour imminente pour corriger la série de failles. Les mises à jour sont toutes basées sur les patchs écrits par Joshua Drake, l’homme qui a découvert la faille. Malheureusement, l’un de ses patchs contient une faille, découverte par Jordan Gruskovnjak, un chercheur en sécurité de l’entreprise Exodus Intelligence.
Des mises à jour qui doivent être mises à jour
En l’état, les mises à jour distribuées par Google et les constructeurs sont donc inefficaces, puisqu’il est toujours possible d’exploiter la faille, même si l’application de détection de la faille (Stagefright Detector) annonce que le terminal n’est plus vulnérable. Google a été mis au courant de cette nouvelle faille le 7 août dernier, mais n’a pas encore annoncé à Exodus l’arrivée d’un nouveau patch. Les équipes de Google ont toutefois bien confirmé la vulnérabilité à travers l’outil de suivi du code source d’AOSP et ont attribué l’identifiant CVE-2015-3864 à cette nouvelle faille. Pour les détails techniques, vous pouvez vous rendre sur le blog d’Exudus qui explique la vulnérabilité du patch.
L’outil de détection va être mis à jour
Joshua Drake a annoncé être en train de travailler sur la mise à jour de l’application Stagefright Detector afin de tenir compte de cette nouvelle faille, pour ne pas induire les utilisateurs en erreur en annonçant que leur terminal n’est plus vulnérable alors qu’il l’est encore. Pour le moment, aucune utilisation publique de la faille n’a été détectée, mais son exploit sera publiquement dévoilé le 24 août prochain. À moins que Joshua Drake ne change d’avis face à ce retournement de situation.
Très peu de terminaux protégés
Pour le moment, seule la ROM CyanogenMod est protégée depuis la nuit dernière : le code source des versions CM10.1 à CM 12.1 (pour protéger les ROM alternatives utilisant ce code source) ainsi que les versions Nightlies de CM12.1. Pour les appareils n’utilisant pas cette ROM, il va falloir attendre que Google intègre le patch à AOSP et que les constructeurs mettent à jour leur version d’Android. Une étape qui risque d’être longue, puisqu’à ce jour, rares sont les terminaux à avoir reçu la première série de patch pourtant mise en ligne le 6 août dernier. On espère que les politiques de mises à jour de sécurité mensuelles de Samsung et LG, en sautant l’étape de validation par les opérateurs, permettront de gagner du temps. Sinon, c’est le fonctionnement de l’écosystème dans son ensemble qui sera à revoir qui montre en ce moment une certaine inefficacité dans le traitement des failles de sécurité.
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
Cyanogen a certes intégré le premier patch rapidement, mais étant donné que ce patch ne sert à rien…
Vivement que la faille soit rendue publique !
Une fois découvert elle sera exploitée. C'est évident.
Oui enfin tout le monde a compris ce que tu dis mais justement le problème est qu'Android ne peut être facilement mis à jour et que des millions de personnes resteront avec un téléphone vulnérable à jamais.
L'article donne le nom de l'application pour tester si ton système est vulnérable. La toute dernière version détecte également cette nouvelle faille.
Encore une mise à jour inutile. Android n'est bon qu'à ça. En tout cas, y'en aura pas mal qui vont basculer chez Windows Phone, je le sens.
Même les vidéos de Q téléchargées depuis des sites de Q? :P
Sacrée pub pour cyanogen sinon
Hum, ben en tant que développeur, moi, je le dis. Supporter du <4 aujourd'hui, c'est la misère... Et même les 4.0 et 4.1 posent de temps en temps souci.
Qui a dit que la fragmentation était un problème ? Que nenni
Ok merci.
Vu que YouTube réencode les vidéos, je ne pense pas que les vidéos YouTube soient problématiques. Après, sans connaitre les détails de la faille, je n'en sais rien...
Même sur Youtube ou seulement via le navigateur mobile ?
En attendant, on peut critiquer cette faille, mais c'est un des rares trucs compatibles avec tous les téléphones sous Android depuis la 2.2. Et ça en soit, c'est déjà un petit miracle.
La désactivation des MMS ne suffit pas, non. N'importe quelle vidéo peut exploiter la faille. Qu'elle soit reçue par MMS ou non.
D'accord d'accord bon bah on va voir ça à la prochaine maj ! Ils sont plutôt réactif Asus à ce niveau-là pour l'instant donc ça devrait aller :D..
Oui merci pour la rectification, je suis tellement empathique envers les utilisateurs d'android que j'en perds mon latin. ;-)
Pour ma part, même avec ces dernières mise à jours, l'application Stagefright Detector continue de m'indiquer des failles actives (lignes rouges).
Leclient qui empathie :D Non, le client en pâtit.
Apparemment oui selon le commentaire de itachiuchiwa.
Ah oui en effet, Asus semble avoir intégré le patch de Google. Malheureusement, il va falloir intégrer le nouveau patch, pas encore publié par Google ...
une mise à jour pour un patch de securite.C'est le serpent qui se mord la queue.Android est dans une mauvaise passe la.
Oui mais là où il a raison (et que tu reprends), c'est la fragmentation. Qu'elle existe par constructeur est une chose compréhensible du fait de la spécificité de chaque modèle et de la surcouche du constructeur (plus ou moins légitime mais chaque constructeur fait comme il veut après tout). Ce que je trouve absolument nul et que Google devrait interdire (comme l'ont fait Apple et MS), c'est la surcouche opérateur qui n'apporte rien mis à part des applications dispos sur le store et qui, si elles sont bien faites, sont installées par l'utilisateur (suivi de forfait, télé via le mobile...), mais qui fait qu'un téléphone est beaucoup moins bien suivi qu'un téléphone nu. Certains constructeurs veulent outrepasser ça, c'est très bien, mais ça va poser des problèmes admettons pour les téléphones qui, en fonction de chaque opérateur, sont en 4.4.2, 4.4.4 ou 5.0.2 admettons. M'enfin ça fait des années qu'on le dit et rien ne change, j'espère que Google comprendront que ça leur fait du tord...
La désactivation du téléchargement auto des MMS suffit ;) Car effectivement en désactivant la Data tu vas à l'encontre du principe même d'un smartphone x) Mais bon, le gout les couleurs blablabla ^^
Quelqu'un sait quand est prévu la mise à jour sur les LG G3 ? Et j'imagine qu'il ne faut pas être rooté pour recevoir la mise à jour ?
Oui ce doit être ça..
J'ai reçu ça pour mon ZF2.. Je sais pas si c'est fiable du coup ! https://uploads.disquscdn.com/images/95f8d9cfa76d11b13df161da00e8a2c0dca5a1e282693952a3f0c9849a42b408.jpg https://uploads.disquscdn.com/images/b40ba041a7e0990fad5ff089f1d963bc47638bfaf7b1b5dbf395542898038b66.jpg
Sauf que si cette faille avait été exploitée, on le saurait depuis longtemps, puisque le risque potentiel est annoncé comme "très important".
Quand un hacker trouve une faille béante, il ne le crie pas sur les toits. Il l'exploite et revend des outils pour l'exploiter. Le but est justement que la faille reste non découverte le plus longtemps possible. Heureusement que des chercheurs font du bon boulot et avertissent des failles. Ce que je trouve navrant, c'est que Google est le premier à donner des leçons de codage aux autres et n'hésite pas à publier des failles s'ils estiment qu'Apple ou Microsoft font trop long pour les boucher. Et quand ça touche leurs produits, c'est démerdez-vous messieurs les fabricants/opérateurs, comme ce sera le cas ici ou comme ça a été le cas avec la faille dans le module web view.
T'inquiète, il y a des failles sur iOS aussi, seulement Apple étouffe tout ça pour pas que ça se sache, c'est la seule différence. Je prends un exemple tout bête, mais comment penses-tu que l'iPhone peut-être Jailbreaké? Par le biais de failles découvertes par des hackers. Pourquoi Apple publie des mises à jours qui contiennent une grosse partie de "corrections de sécurité" si ce n'est pour corriger des failles? ; ) Le seul avantage d'Apple, c'est qu'ils peuvent être plus réactifs quand une faille est découverte. C'est là le gros problème de Google et on verra dans les mois/années à venir si ils tirent les leçons de la fragmentation d'Android ou pas, ce qui voudra dire d'un coté que le bien être de leurs clients est important, ou de l'autre coté qu'ils n'en ont rien à faire que leurs clients puissent se faire voler toutes leurs données personnelles. A coté de ça, il me semblait qu'avec Android 5, Google avait dit qu'ils avait séparé la couche système de la surcouche graphique pour justement, pouvoir mettre à jour le système sans toucher à la surcouche et ainsi pouvoir combler des failles sans attendre que les constructeurs ou opérateurs réagissent. Apparemment, ce n'est pas le cas du tout, sinon on n'en serait pas là (au moins pour les terminaux Android 5+)
Dans le changelog ce n'était pas mentionné, on en sait rien...
Je viens de voir qu'il y a une option déjà activée dans les paramètres de Textra pour se protéger de Stagefright.
Merci :)
Quelqu'un sais si la dernière mise a jour du zenfone 2 de hier corrige( enfin plus maintenant en voyant l'actu) la faille ? Merci :)
https://www.frandroid.com/android/applications/securite-applications/299820_stagefright-se-proteger-de-faille-touchant-terminaux-android Pour éviter d'être piraté avec un MMS ;)
Sur le G3 j'ai toujours rien reçu
elle l'a toujours été mais aujourd'hui on compte beaucoup plus d'utilisateurs et forcément.....on s'en rend plus vite compte
mis à part mon commentaire de troll, ce que je veux dire par là, c'est que je trouve aberrant le nombre de failles sur Android et le système de maj par opérateur/fabricant qui laisse sérieusement à désirer...au final c'est le client final qui empathie de cette gestion catastrophique.
C'est quoi la récupération auto des MMS ? Comment on fait pour désactiver ça et comment fonctionne la réception des MMS alors ?
Et comment savoir? Mon asus à eu 2 MaJ système depuis 1 semaine
c'est vrai que a sécurité d'android deviens de plus en plus douteuse
Ils ont juste désactivé la récupération auto des MMS je pense.
Dans textra, dans les paramètres, ils ont corrigé cette faille apparemment, c'est des bêtises ou pas ?
Si tu crois que tu es plus à l'abri... Je relève un point qui ne semble étonner personne : On nous hurle la gravité de cette faille dans les oreilles, mais personne ne réagit sur le fait que la faille est présente depuis Froyo (Android 2.2) , et qu'il a fallu attendre la version 5.1.1 pour qu'elle soit découverte. S'il a fallu si longtemps pour la découvrir, c'est que la faille n'est pas aussi béante qu'on l'affirme partout.
C'est bien pour ça que je suis chez Apple....
Un beau bordel....
Xiaomi MI3 MIUI v6 avec derniere mise a jour dev, pas de faille detecter :)
J'ai également reçu une maj de sécurité sur mon Nexus 5 avant hier mais comme Brice plus qu'à attendre la prochaine
Données mobiles désactivées sauf quand nécessaires, téléchargement auto des MMS désactivé.. Même si c'est un peu à l'encontre du principe d'un 'smartphone', mon téléphone ne s'en porte que mieux, la preuve encore aujourd'hui avec cette faille :3<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
J'ai reçu une mise à jour hier, je suppose que c'est cette dernière. Plus qu'à attendre la prochaine donc !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix