IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Mon application mobile Discussion :

La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright


Sujet :

Mon application mobile

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 556
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 556
    Points : 155 640
    Points
    155 640
    Par défaut La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright
    La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright,
    qui permet de contrôler un appareil en se servant d'un MMS


    Mise à jour du 29/07/2015, communiqué de Google relatif aux dispositions prises pour Stagefright

    Concernant la faille Stagefright, un porte-parole de Google a déclaré « cette vulnérabilité a été identifiée en laboratoire sur des appareils Android plus anciens et, à notre connaissance, personne n'a été touché. Dès que nous avons été informés de la vulnérabilité, nous avons immédiatement agi et transmis une solution à nos partenaires afin de protéger les utilisateurs ... ».

    Et de continuer en disant « dans le cadre d'une mise à jour régulière prévue, nous avons prévu de renforcer les protections sur les appareils Nexus à partir de la semaine prochaine. Par la suite, nous publierons ces protections en open source quand les détails seront rendus publics par le chercheur durant le Black Hat ». Notons qu’une vidéo de démonstration sera publiée plus tard dans la semaine et un code d’exploitation sera fourni durant la conférence Black Hat en même temps qu’un patch en open source.

    Il convient de préciser que Stagefright doit son nom à la librairie média dans laquelle les failles ont été trouvées, sept au total pour être plus spécifiques (confère les CVE plus bas). Cette bibliothèque média est également utilisée sur d’autres écosystèmes comme sur le Blackphone et sur Firefox OS. Silent Circle et Mozilla ont déjà publié les correctifs nécessaires.

    Du côté d’Android, l’opération va s’avérer un peu plus épineuse dans le sens où les déploiements des mises à jour dans cet écosystème dépendent également des constructeurs. C’est-à-dire que Samsung, HTC, LG, Motorola, Sony et d’autres constructeurs seront responsables du déploiement des correctifs pour leurs utilisateurs. La bonne nouvelle est que les constructeurs semblent vouloir réagir au plus vite comme a expliqué un porte-parole de HTC qui a avancé « Google a informé HTC du problème et fournit les correctifs nécessaires que HTC a commencé à inclure dans ses projets en début du mois de juillet. Tous les futurs projets embarqueront le correctif requis ».

    Comme pour calmer un peu le jeu, l’ingénieur Google Adrian Ludwig précise : « il y a une fausse supposition commune selon laquelle n’importe quel bug logiciel peut être transformé en exploit de sécurité. Dans les faits, de nombreux bugs ne sont pas exploitables et il y a plusieurs choses qu’Android a faites pour corriger cela ».

    Android Police, Adrian Ludwig (Google+)
    Des chercheurs en sécurité travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont baptisée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Etant donné que l’exécution des médias se doit d’être rapide pour le confort des utilisateurs, cette bibliothèque a été implémentée en C++ « qui est plus sujet aux corruptions de mémoire que des langages comme Java ».

    « Les attaquants n’ont besoin que de votre numéro de téléphone, grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS. Une attaque entièrement réussie peut même aller jusqu’à effacer le message avant que vous ne le lisiez. Vous n’en verrez que la notification. Ces vulnérabilités sont extrêmement dangereuses parce qu’elles ne requièrent aucune interaction de la part de la victime pour être exploitées. Contrairement aux attaques par hameçonnage, où la victime devrait au préalable ouvrir un fichier PDF ou un lien envoyé par l’attaquant, cette vulnérabilité peut être déclenchée pendant que vous dormez. Avant votre réveil, l’attaquant va éliminer toutes traces de compromission de votre appareil et vous continuerez votre journée comme à l’accoutumée – avec un téléphone comprenant un cheval de Troie », ont expliqué les chercheurs.

    Pour une meilleure illustration, ils ont fourni des captures d’écran prise sur un Nexus 5 sur lequel tournait la dernière version d’Android (Android Lollipop 5.1.1). Sur la première, un MMS a été reçu depuis l’application Hangouts. « A ce niveau, un attaquant aurait peut-être déjà exécuté du code arbitraire », préviennent-ils. La seconde présente des notifications MMS qui affiche un aperçu du MMS, ce qui déclenche le code vulnérable. La troisième montre qu’aucun effet n’est perceptible lorsque vous déverrouillez votre dispositif et sur la quatrième, les chercheurs expliquent qu’à chaque fois que vous lisez le message MMS, que vous exécutez le fichier média (une vidéo dans le cas d’espèce) ou que vous faites pivoter votre écran, vous déclenchez le code vulnérable.


    Google avait déjà parlé du « sandboxing » d’Android comme une méthode effective de protection de ses utilisateurs ; les applications, en général, ne peuvent qu’interagir via certains vecteurs afin d’empêcher un logiciel malveillant de subtiliser ou d’altérer les données d’autres applications. Raison pour laquelle un développeur a voulu savoir avec quel privilège s’exécute Stagefright. Ce à quoi Joshua Drake, le responsable de la recherche chez Zimperium, a répondu que Stagefright s’exécute avec une élévation de privilège et que dans certains cas il s’octroie même des privilèges systèmes.

    Il faut tout de même préciser qu’il ne s’agit pas d’une faille dans le système de messagerie (MMS ou Hangouts pour ce cas particulier). La faiblesse réside dans le système d’exploitation en lui-même et faire un SMS est simplement la façon la plus facile qu’un pirate puisse utiliser pour attaquer sa victime sans qu’elle n’ait de moyen de se défendre.

    Les versions Android qui sont vulnérables à Stagefright sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android, ce qui représente 950 millions d’appareils. Zimperium a alors contacté Google pour lui en parler mais a également proposé des correctifs en échange desquels Google a proposé une compensation financière.


    « Google a agi promptement et appliqué les correctifs à ses branches de code interne dans les 48 heures, mais, malheureusement, ce n’est que le début de ce qui sera un très long processus de déploiement de mise à jour ».

    Source : blog Zimperium, twitter Joshua J. Drake
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 306
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 306
    Points : 3 024
    Points
    3 024
    Par défaut
    1000 dollars pour une faille de cette ampleur ??? c'est pas un peu abusé ?N=

  3. #3
    Membre habitué
    Femme Profil pro
    Analyste d'exploitation
    Inscrit en
    juillet 2014
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 45
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Analyste d'exploitation
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2014
    Messages : 64
    Points : 134
    Points
    134
    Par défaut
    puisque ça touche les terminaux dès android 2.2, est-ce que cela peut supposer que des mises à jour sur des très vieux terminaux peuvent encore être faites par les constructeurs qui ont arrêté les évolutions android ?

    ou bien les constructeurs déclarent abandonner totalement leur téléphones vendus...

  4. #4
    Membre expérimenté Avatar de dfiad77pro
    Homme Profil pro
    (Ingénieur dev.) lead technique
    Inscrit en
    décembre 2008
    Messages
    525
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : (Ingénieur dev.) lead technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2008
    Messages : 525
    Points : 1 674
    Points
    1 674
    Par défaut
    Citation Envoyé par Ymer Leahcim Voir le message
    puisque ça touche les terminaux dès android 2.2, est-ce que cela peut supposer que des mises à jour sur des très vieux terminaux peuvent encore être faites par les constructeurs qui ont arrêté les évolutions android ?

    ou bien les constructeurs déclarent abandonner totalement leur téléphones vendus...
    C'est le soucis principal des maj Android, qui sont déployées au bon vouloir des constructeurs.

    C'est aussi le cas des maj pour Windows Phone ( on le voit moins comme Microsoft possède la majorité des Smartphones ).
    Microsoft va proposer un truc plus souple avec le 10, je pense que Google le fera aussi vu les risques encourus...

    Une attaque de masse peut sérieusement entacher la réputation d'une entreprise ( on se souvient de Windows XP et blaster)...

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 963
    Points : 27 034
    Points
    27 034
    Par défaut
    Citation Envoyé par dfiad77pro Voir le message
    Microsoft va proposer un truc plus souple avec le 10,
    Proposer, non, plus souple, pas sur non plus.
    A partir de Windows Phone 10 Microsoft va imposer les mises à jour de son os dès leurs sorties, en direct, et les constructeurs n'auront à priori pas la possibilité de les bloquer.


    Citation Envoyé par dfiad77pro Voir le message
    je pense que Google le fera aussi vu les risques encourus...
    La difficulté vient semble-t-il des contrats d'exploitations d'Android que les constructeurs et Google concluent. Apparemment Google ne pourrait pas faire comme Microsoft, imposer les mises à jours de l'os à l'encontre des constructeurs sans modifier ces contrats.
    Donc il n'est pas du tout sur de voir une telle fonctionnalité chez Android
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  6. #6
    Membre expert
    Inscrit en
    juin 2009
    Messages
    1 119
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 119
    Points : 3 511
    Points
    3 511
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    La difficulté vient semble-t-il des contrats d'exploitations d'Android que les constructeurs et Google concluent. Apparemment Google ne pourrait pas faire comme Microsoft, imposer les mises à jours de l'os à l'encontre des constructeurs sans modifier ces contrats.
    Donc il n'est pas du tout sur de voir une telle fonctionnalité chez Android
    De plus, en signant le contrat d'utilisation d'android, les constructeurs dégagent entierrement de toute responsabilité Google par rapport aux logiciels qu'il fournit.(C'est en autre pour ça que apple pour samsung et pas google pour les aspects "copiés" de leurs iPhone.) du coup c'est ""normal"" que google n'ai plus d'impact sur les constructeurs après coup.

  7. #7
    Membre habitué
    Femme Profil pro
    Analyste d'exploitation
    Inscrit en
    juillet 2014
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 45
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Analyste d'exploitation
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2014
    Messages : 64
    Points : 134
    Points
    134
    Par défaut
    Citation Envoyé par Ymer Leahcim Voir le message
    puisque ça touche les terminaux dès android 2.2, est-ce que cela peut supposer que des mises à jour sur des très vieux terminaux peuvent encore être faites par les constructeurs qui ont arrêté les évolutions android ?

    ou bien les constructeurs déclarent abandonner totalement leur téléphones vendus...
    si des constructeurs de voitures vendent leur voiture-android avec une garantie de 5ans et qu'après ils arrêtent les mises-à-jour android alors que la voiture est piratable, ça craindrait...

  8. #8
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 306
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 306
    Points : 3 024
    Points
    3 024
    Par défaut
    ca a toujours été de la vente forcée. un gros bug apparait et on vient vous dire que yaura pas de mise à jour la seule solution c'est d'acheter un autre telephone...

    d'ou le besoin de rooter la becane et de prendre la main sur son os.

    je n'ai pas ce probleme avec android, vu que je suis sur BB, c'est l'emulateur qui ce charge d'executer dans une sandbox l'apk. du coup ya des chances que le probleme avec le sms ne soit pas present et au pire BB a la main sur les mise à jour puisque constructeur

    question : peux t'on mettre a jour soit même son os android ? il existe cyanogène mod il me semble .
    mais il ya peut etre un risque que les périphérique de son téléphone ne soit pas accessible ? ( si driver proprio)

  9. #9
    Membre expert
    Inscrit en
    juin 2009
    Messages
    1 119
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 119
    Points : 3 511
    Points
    3 511
    Par défaut
    Citation Envoyé par cuicui78 Voir le message
    ca a toujours été de la vente forcée. un gros bug apparait et on vient vous dire que yaura pas de mise à jour la seule solution c'est d'acheter un autre telephone...

    d'ou le besoin de rooter la becane et de prendre la main sur son os.

    je n'ai pas ce probleme avec android, vu que je suis sur BB, c'est l'emulateur qui ce charge d'executer dans une sandbox l'apk. du coup ya des chances que le probleme avec le sms ne soit pas present et au pire BB a la main sur les mise à jour puisque constructeur

    question : peux t'on mettre a jour soit même son os android ? il existe cyanogène mod il me semble .
    mais il ya peut etre un risque que les périphérique de son téléphone ne soit pas accessible ? ( si driver proprio)
    Cyanogen Mod n'est compatible officiellement qu'avec un petit ensemble de téléphone, et avec suffisamment d'effort avec un bel ensemble de téléphone.

    J'ai un lecteur MP3 Samsung Galaxy Wifi, je suis bloqué en 2.3.6 via Samsung et Cyanogen ne peu rien pour moi car c'est un processeur mediatek.

    Sur mes téléphones je suis sous WP. Une chose est sûre, si un jour je repasse à android, je vérifierais avant achat la compatibilité Cyanogen mod (déjà des générations précédentes du même téléphone, et dans l'idéal j'attendrais suffisamenet longtemps pour la cyanogen sorte sur le téléphone que je convoite)

    Après, comme j'ai été bloqué relativement rapidement dans mes recherche à cause de cette incompatibilité fatale je ne suis pas un pro. Peut être que tout à changé maintenant, mais ça m'étonnerais.

  10. #10
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 963
    Points : 27 034
    Points
    27 034
    Par défaut
    Citation Envoyé par Ymer Leahcim Voir le message
    si des constructeurs de voitures vendent leur voiture-android avec une garantie de 5ans et qu'après ils arrêtent les mises-à-jour android alors que la voiture est piratable, ça craindrait...
    déjà qu'elles sont piratables sans Android
    Et les tv connectées, les frigo, ....
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  11. #11
    Membre à l'essai
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    mai 2015
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vienne (Poitou Charente)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2015
    Messages : 19
    Points : 15
    Points
    15
    Par défaut
    AoCannaille
    du coup c'est ""normal"" que google n'ai plus d'impact sur les constructeurs après coup.
    Et au final la responsabilité sur ce genre de faille ne va revenir à personne

    Teekeasy

  12. #12
    Membre habitué
    Femme Profil pro
    Analyste d'exploitation
    Inscrit en
    juillet 2014
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 45
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Analyste d'exploitation
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2014
    Messages : 64
    Points : 134
    Points
    134
    Par défaut
    Citation Envoyé par Teekeasy Voir le message
    AoCannaille
    Et au final la responsabilité sur ce genre de faille ne va revenir à personne
    Teekeasy
    hélas si ! Les dégâts causés par un appareil/dispositifs reviennent toujours à son acquéreur en cas d'aucun arrièré garant.

    si ton routeur internet est utilisé par autrui pour une activité illégale, tu es responsable
    si ton mobile sans garantie envoie des sms payants en exploitant une faille, tu es responsable
    donc si ta voiture plus garantie est piratée et cause un problème...tu es responsable.

    après il reste les assurances qui auront surement des options payantes ou des petites lignes en typo 2 qui diront qu'ils ne prennent pas en charge ....

  13. #13
    Membre éclairé
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 607
    Détails du profil
    Informations personnelles :
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 607
    Points : 866
    Points
    866
    Par défaut
    Bonjour,

    Une mise a jour est disponible sur le site d'android, mais dans ce cas il faut migrer de Kitlat a Loolip ?

    Je ne suis pas sur que les bugs mémoire et batterie soient corrigé ?

  14. #14
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 556
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 556
    Points : 155 640
    Points
    155 640
    Par défaut Google déploie un second correctif pour Stagefright suite à un premier défectueux
    Google déploie un second correctif pour Stagefright suite à un premier défectueux
    les utilisateurs ne seront pas totalement protégés avant septembre

    D’après l’expert en sécurité Rapid7, Google devrait revoir la façon dont il colmate les failles Android à la lumière des tentatives initiales ratées pour colmater la vulnérabilité Stagefright. Une critique qui est venue suite à la déclaration de Google lui-même qui a confirmé que les utilisateurs de ses Nexus, qui étaient les premiers à bénéficier d’un correctif de sécurité, ne seraient pas totalement protégés avant septembre.

    Pour rappel, la vulnérabilité Stagefright, qui doit son nom à la librairie média dans laquelle les failles ont été trouvées (sept au total selon les CVE), est exploitable à partir du moment où des pirates ont votre numéro « grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS ». Les versions d’Android vulnérables sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android (ou encore 950 millions d’appareils).

    La première semaine de ce mois, Google a amorcé le déploiement de six patchs pour colmater la faille. Pourtant, sur les six patchs proposés, les chercheurs en sécurité d’Exodus Intelligence ont remarqué une erreur dans le code proposé par Google. L’un d’eux, Jordan Gruskovnjak, a prévenu Google le 07 août dernier et a même modifié un fichier vidéo pour montrer que, malgré le correctif, la faille était toujours exploitable. La semaine dernière, Exodus a décidé de publier le code montrant comment cela était possible parce que « malgré notre notification (et leur confirmation), Google continue de déployer le correctif défectueux pour les dispositifs Android via des mises à jour OTA ».

    Dans un billet, ils ont expliqué que « ce bug a focalisé une quantité excessive d’attention – nous pensons que nous ne sommes probablement pas les seuls à avoir remarqué cette imperfection. D’autres peuvent avoir des intentions malveillantes ». Puis de dire « Google emploie énormément en matière de sécurité, ils ont tellement de personnel qu’il y en a qui consacrent leur temps à examiner les logiciels d’autres éditeurs et les obligent à respecter une limite de délai dans la fourniture de correctif. Si Google ne peut pas démontrer sa capacité de remédier avec succès une vulnérabilité révélée qui affecte ses propres clients, alors quel espoir nous reste-t-il ? ».

    Le problème était situé dans le patch qui devait corriger le problème répertorié sous CVE – 2015 – 3824 (soit Google Stagefright ‘tx3g’ MP4 Atom Integer Overflow).

    Le lendemain, Google a publié a rendu disponible en open source un second correctif pour corriger ce problème. Bien que l’entreprise n’ait pas souhaité s’étendre, elle a cherché à minimiser les risques utilisateurs. « Actuellement, plus de 90 pour cent des appareils Android ont une technologie appelée ASLR (Address Space Layout Randomization) activée qui protège les utilisateurs contre ce problème. Nous avons déjà envoyé le correctif à nos partenaires pour protéger les utilisateurs, et les Nexus 4/5/6/7/9/10 ainsi que le Nexus Player recevront la mise à jour OTA dans la mise à jour de sécurité mensuelle Septembre » a déclaré Google.

    Pour Tod Beardsley, directeur de l'ingénierie de la sécurité chez Rapid7 - la société derrière l'outil de test de pénétration Metasploit -, « le problème auquel Google est confronté n’est pas tellement de voir des failles de sécurité dans des produits logiciels populaires : tout le monde a des failles, ça arrive. Le véritable problème que nous observons aujourd'hui c’est une rupture dans le pipeline de patch Android ».

    « Dans ce cas, deux éléments essentiels du processus de traitement des vulnérabilités de Google sont défaillants. Tout d'abord, il est extrêmement difficile pour Google, ou quelqu'un d'autre, de lancer des mises à jour logiciel chez les utilisateurs. Même les appareils Nexus, dont Google a le contrôle le plus direct, devront attendre un communiqué Septembre suite à cette mise à jour du patch Stagefright insuffisante. Ce temps de latence entre avoir un correctif sous la main et le distribuer à sa base d'utilisateurs est tout simplement trop lent pour être raisonnablement sûr. Si des acteurs malveillants choisissent d'exploiter cet ensemble de vulnérabilités dans le même temps, il semble que les utilisateurs lambda ne puissent rien faire pour se défendre », a averti Beardsley.

    Si les chercheurs en sécurité de Google faisant partie de l’équipe Project Zero examinent régulièrement les codes source d’autres éditeurs puis les poussent à développer des correctifs aux failles rencontrées, il ne fait pas très bon de se retrouver de l’autre côté du miroir.

    « L'autre rupture dans le processus de rétroaction Stagefright était la gestion de Google suite à l'alerte d’Exodus sur le correctif défectueux à laquelle ils n’ont pas répondu en temps opportun. Beaucoup d'entreprises ont du mal suite à un premier contact avec des chercheurs qui font des rapports vulnérabilités, mais ce n’est pas le premier rodéo de Google. Après tout, le Project Zero de Google signale les vulnérabilités à d'autres grands fournisseurs régulièrement avec certaines attentes en matière de communication. Ils doivent être en mesure de pratiquer ce qu'ils prêchent un peu mieux dans ce domaine si les utilisateurs d'Android doivent faire confiance à l’intendance de Google sur son code » a-t-il conclu.

    Source : Blog Exodus, bulletins de sécurité Nexus (août 2015)
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  15. #15
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 969
    Points : 3 257
    Points
    3 257
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    déjà qu'elles sont piratables sans Android
    Et les tv connectées, les frigo, ....
    Couper le frigo à distance ^^
    Si la réponse vous a aidé, pensez à cliquer sur +1

  16. #16
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 556
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 556
    Points : 155 640
    Points
    155 640
    Par défaut L'exploit Metaphor se sert de la même bibliothèque média que Stagefright
    L'exploit Metaphor se sert de la même bibliothèque média que Stagefright,
    la faille Android à laquelle près d'un milliard de dispositifs étaient vulnérables

    L’année dernière, des chercheurs travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont nommée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Les versions d’Android qui étaient vulnérables étaient celles qui étaient postérieures à Android 2.2, soit approximativement 95 % du parc Android à ce moment (environ 950 millions d’appareils).

    Suite à cette publication, Google avait déployé une vague de correctifs de sécurité. L’affaire devait donc déjà être classée. Pourtant, la société NorthBit a mis au point une attaque qui exploite la même bibliothèque média que Stagefright.

    Baptisé Metaphor, le principe de cette manipulation consiste à créer un buffer overflow (débordement de la mémoire tampon) afin d’accéder à d’autres zones de l’appareil. Sa principale force consiste à contourner l’ASLR (Adress Space Layout Randomization) intégré depuis Android 4.1 et qui permet de rendre ces débordements inexploitables en empêchant les pirates de prédire le nouvel adressage grâce à un système aléatoire. Aussi, l’entreprise a annoncé pouvoir lancer une attaque sur les terminaux tournant à partir d’Android 2.2 jusqu’à la version 5.1.


    Si Joshua Drake, vice-président de Zimperium, s’était appuyé sur la faille CVE-2015-1538, les chercheurs de NorthBit ont opté pour la faille CVE-2015-3864. Ainsi, avec Metaphor, ils sont parvenus à obtenir un accès complet aux fichiers de l’appareil de façon à pouvoir les copier et/ou supprimer, ainsi qu’au microphone et à la caméra. « Ils ont prouvé qu’il est possible d’utiliser une fuite d’informations pour contourner l’ASLR », a noté Joshua Drake. « Alors que tous mes exploits reposaient sur la force brute pour exploiter la faille, les leurs ne se servent pas d’une supposition en aveugle. En réalité ils tirent les informations du serveur média qui vont leur permettre de concevoir un exploit pour quiconque utilise l’appareil ».

    Il faut noter que Metaphor fonctionne sur une base plus large de téléphones. Les correctifs précédents publiés par Google apportaient une immunité à des utilisateurs de la version 5.1 (ou supérieure) et, dans certains cas, apportaient également une immunité à ceux qui utilisaient la version 4.4 au minimum, a noté Drake. Avec Metaphor en revanche, les utilisateurs de la version 5.1 sont exposés, ce qui représente environ 19 pour cent du parc Android.

    Dans leur analyse technique de cette vulnérabilité, les chercheurs ont expliqué que le code d’attaque doit être pensé pour fonctionner sur un modèle Android spécifique, ce qui rendrait improbable de faire un exploit universel. Toutefois, Drake a soutenu qu’il est possible pour un site web de modifier la charge délivrée à un dispositif après avoir vérifié son profil matériel et logiciel. Avec du travail additionnel, un site pourrait être conçu pour attaquer un large pourcentage de téléphones vulnérables.

    Un porte-parole de Google a déclaré : « les dispositifs Android avec un correctif de sécurité datant du 1er octobre 2015 ou plus sont protégés grâce au patch que nous avons publié pour corriger ce problème (CVE-2015-3864) l’année dernière. Comme toujours, nous apprécions les efforts des chercheurs de la communauté puisqu’ils tendent à rendre l’écosystème Android plus sûr pour tous ».

    Source : analyse technique de la vulnérabilité (au format PDF)
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  17. #17
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    Du grand spectacle !
    il faut croire que la bibliothèque média Android est un vraie passoire, bon c'est aussi le cas pour IOS
    du coup à se demander pourquoi faire une seule lib pour tous les types de médias ? ça ne facilite pas les piratages ?
    Rien, je n'ai plus rien de pertinent à ajouter

Discussions similaires

  1. Réponses: 43
    Dernier message: 09/06/2014, 17h01
  2. Réponses: 10
    Dernier message: 25/01/2014, 01h59
  3. HTTPCS : deux tiers des sites web sont vulnérables
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 23
    Dernier message: 03/09/2013, 07h36
  4. Réponses: 1
    Dernier message: 11/01/2008, 18h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo