La faille critique qui affecte près d’un milliard de terminaux sous Android n’a pas fini de faire couler de l’encre. Déjà que Google est censé avoir réussi à établir un patch corrigeant cette importante vulnérabilité, le gros problème de la firme de Mountain View a ensuite été d’arriver à mettre en place la plus grosse mise à jour logicielle de l’histoire de l’humanité.

Et quand bien même cette mise à jour serait effective sur tous les terminaux visés (ce qui est très loin d’être aujourd’hui le cas), une équipe de chercheurs en sécurité informatique vient de démontrer que la correction proposée par Google n’est finalement pas suffisante pour protéger les utilisateurs d’Android !

Ce bug, nommé Stagefright par la firme Zimperium qui l’a originellement découvert, permet potentiellement de prendre le contrôle d’un smartphone vulnérable (soit l’un des 950 millions de terminaux actuellement exposés) à l’aide d’un simple MMS injectant un code malicieux au sein du téléphone et pouvant ainsi accéder au système d’exploitation sans être détecté. Le téléphone infecté peut ensuite retransmettre des informations aux hackers contrôlant le terminal sans que son propriétaire ne soit au courant.

Une faille très grave donc qui, alors qu’elle semblait pouvoir affecter particulièrement les utilisateurs de l’application de messagerie Hangouts, s’avère pouvoir aussi toucher les smartphones par d’autres biais selon le découvreur original de la faille.

Exodus Intelligence, une entreprise de cyber-sécurité, dévoile aujourd’hui que le patch proposé par Google ne protège pas suffisamment les propriétaires d’un appareil sous Android, puisque l’une des possibilités d’infection (l’envoi d’un fichier MP4 infecté) n’a pas été corrigée par Google.

« Le grand public croit que le patch actuel les protège, alors que ce n’est en fait pas le cas. »

Bien que Exodus ait contacté Google le 7 août en espérant recevoir une réponse comme quoi cette vulnérabilité serait bien corrigée dans un avenir proche, aucune déclaration n’a été faite du côté des responsables de la sécurité d’Android à propos de l’arrivée d’une nouvelle mise à jour. D’où la décision d’Exodus Intelligence de partager publiquement cette information afin de forcer Google à prendre position et à sortir une nouvelle correction plus efficace.

On touche toujours ici au véritable problème de fond avec Android : une simple mise à jour de sécurité peut prendre des mois (voire ne jamais arriver sur certains terminaux) pour que Google sorte un correctif, que les autres constructeurs le proposent sur leurs appareils, que les opérateurs déploient la mise à jour Over-The-Air pour qu’enfin les appareils sous Android soient correctement protégés. Ce processus doit, d’une manière ou d’une autre, se simplifier pour qu’il ne conduise pas, à terme, à l’arrivée d’une crise plus importante le jour où une faille encore plus dangereuse et facile à exploiter venait à être découverte par des hackers malveillants !

Source