Faille Android Stagefright : le premier correctif inefficace

Par Benjamin Trécherel

Partager

  • Facebook
  • Twitter
  • LinkedIn
  • RSS
android

Google va devoir livrer un deuxième patch pour corriger la vulnérabilité découverte dans la bibliothèque Android Stagefright, le premier n'ayant pas totalement réussi à en venir à bout.

Des centaines de millions de terminaux peuvent être touchés par une nouvelle faille de sécurité apparue fin juillet : Stagefright. Les appareils fonctionnant sous l'OS mobile de Google peuvent en effet être corrompus par la simple réception d'un MMS spécialement conçu pour comporter un code malveillant. Il suffit donc juste au pirate de connaître le numéro de téléphone de sa victime pour propager le malware.

La première faille a été détectée le mois dernier par Joshua Drake. L'expert de l'entreprise californienne Zimperium avait d'ailleurs soumis un rapport, accompagné d'un patch correctif. Patch qui a été déployé par Google la semaine dernière.

Une faille de sécurité découverte dans le premier correctif

Mais un autre chercheur en sécurité, Aaron Portnoy, travaillant pour le compte d'Exodus Intelligence, a découvert une autre faille dans ce patch. Il a en effet testé celui-ci en mettant au point un fichier MP4 malveillant capable de le détourner. Aaron Portnoy a donc prévenu Google le 7 août, sans obtenir de réponse de la part de Mountain View. Ce qui l'a poussé à rendre l'information publique, comme il l'explique sur le blog d'Exodus. Google a depuis pris note de son rapport et admis le problème.

La firme américaine a ensuite publié un communiqué jeudi dernier, affirmant qu'il avait envoyé le dernier correctif à ses partenaires. Sa gamme de terminaux Nexus le recevra d'ailleurs dans son correctif mensuel du mois de septembre.

Google avait annoncé un peu plus tôt dans le mois vouloir mettre en place des mises à jour régulières pour combler les failles de sécurité. Samsung a également annoncé le déploiement mensuel de patches pour offrir une réponse plus rapide lorsqu'une nouvelle faille est découverte.

Reste que si Google et les constructeurs semblent prendre des mesures pour lutter contre ces vulnérabilités, les opérateurs sont quant à eux beaucoup plus lents lorsqu'il s'agit de déployer les mises à jour logicielles. Une cohésion de l'ensemble de ces acteurs est donc nécessaire pour que la sécurité de l'écosystème Android soit préservé.

comments powered by Disqus

Touchez pour ajouter le site à vos favoris ou sur votre écran d’accueil.