La plupart des appareils sous Android rencontrent actuellement un sérieux problème de sécurité puisqu’un simple MMS permettrait d’exécuter du code arbitraire. 95% des utilisateurs Android seraient touchés, en se basant sur 1 milliard d’appareils ce qui en fait 950 millions de vulnérables.

La bibliothèque Android “Stagefright” développée en C++ contient la vulnérabilité et elle est appelée à chaque fois qu’un contenu multimédia pris en charge est détecté. Par exemple, un simple MMS sur un smartphone et la bibliothèque traite la photo ou la vidéo contenue, mais ça peut être aussi la lecture d’un contenu web…

Un code particulier présent au sein d’un cliché peut permettre d’exécuter du code sur l’appareil puisqu’il sera traité par Stagefright. Le pire c’est que l’on ne peut rien faire puisque Stagefright pourra préparer le travail en arrière-plan lors de la réception d’un MMS…

Toutes les versions d’Android à partir de la 2.2 sont concernées. Google a déjà développé un correctif de sécurité contre cette vulnérabilité, mais maintenant l’enjeu est de déployer ce correctif sur les appareils et on sait à quel point les mises à jour sur Android ne sont pas déployées en même temps. Chaque constructeur va à son rythme. Au niveau applicatif, Firefox 38 contient déjà un correctif pour cette faille (connue depuis plus de trois mois) et nous sommes aujourd’hui à la version 39.

Les appareils tels que les Nexus devraient bénéficier rapidement d’un correctif puisque c’est Google qui est derrière. Pour les partenaires de Google, ce sera pour « dans les prochaines semaines ou les prochains mois ». On peut imaginer que les appareils trop anciens ne soient pas mis à jour…

Pour mettre la pression sur les constructeurs, des détails supplémentaires seront dévoilés lors de deux conférences : le 5 août au Black Hat et le 7 août à la DEF CON.

Source