La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright
La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright,
qui permet de contrôler un appareil en se servant d'un MMS
Citation:
Mise à jour du 29/07/2015, communiqué de Google relatif aux dispositions prises pour Stagefright
Concernant la faille Stagefright, un porte-parole de Google a déclaré « cette vulnérabilité a été identifiée en laboratoire sur des appareils Android plus anciens et, à notre connaissance, personne n'a été touché. Dès que nous avons été informés de la vulnérabilité, nous avons immédiatement agi et transmis une solution à nos partenaires afin de protéger les utilisateurs ... ».
Et de continuer en disant « dans le cadre d'une mise à jour régulière prévue, nous avons prévu de renforcer les protections sur les appareils Nexus à partir de la semaine prochaine. Par la suite, nous publierons ces protections en open source quand les détails seront rendus publics par le chercheur durant le Black Hat ». Notons qu’une vidéo de démonstration sera publiée plus tard dans la semaine et un code d’exploitation sera fourni durant la conférence Black Hat en même temps qu’un patch en open source.
Il convient de préciser que Stagefright doit son nom à la librairie média dans laquelle les failles ont été trouvées, sept au total pour être plus spécifiques (confère les CVE plus bas). Cette bibliothèque média est également utilisée sur d’autres écosystèmes comme sur le Blackphone et sur Firefox OS. Silent Circle et Mozilla ont déjà publié les correctifs nécessaires.
Du côté d’Android, l’opération va s’avérer un peu plus épineuse dans le sens où les déploiements des mises à jour dans cet écosystème dépendent également des constructeurs. C’est-à-dire que Samsung, HTC, LG, Motorola, Sony et d’autres constructeurs seront responsables du déploiement des correctifs pour leurs utilisateurs. La bonne nouvelle est que les constructeurs semblent vouloir réagir au plus vite comme a expliqué un porte-parole de HTC qui a avancé « Google a informé HTC du problème et fournit les correctifs nécessaires que HTC a commencé à inclure dans ses projets en début du mois de juillet. Tous les futurs projets embarqueront le correctif requis ».
Comme pour calmer un peu le jeu, l’ingénieur Google Adrian Ludwig précise : « il y a une fausse supposition commune selon laquelle n’importe quel bug logiciel peut être transformé en exploit de sécurité. Dans les faits, de nombreux bugs ne sont pas exploitables et il y a plusieurs choses qu’Android a faites pour corriger cela ».
:fleche:
Android Police,
Adrian Ludwig (Google+)
Des chercheurs en sécurité travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont baptisée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Etant donné que l’exécution des médias se doit d’être rapide pour le confort des utilisateurs, cette bibliothèque a été implémentée en C++ « qui est plus sujet aux corruptions de mémoire que des langages comme Java ».
« Les attaquants n’ont besoin que de votre numéro de téléphone, grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS. Une attaque entièrement réussie peut même aller jusqu’à effacer le message avant que vous ne le lisiez. Vous n’en verrez que la notification. Ces vulnérabilités sont extrêmement dangereuses parce qu’elles ne requièrent aucune interaction de la part de la victime pour être exploitées. Contrairement aux attaques par hameçonnage, où la victime devrait au préalable ouvrir un fichier PDF ou un lien envoyé par l’attaquant, cette vulnérabilité peut être déclenchée pendant que vous dormez. Avant votre réveil, l’attaquant va éliminer toutes traces de compromission de votre appareil et vous continuerez votre journée comme à l’accoutumée – avec un téléphone comprenant un cheval de Troie », ont expliqué les chercheurs.
Pour une meilleure illustration, ils ont fourni des captures d’écran prise sur un Nexus 5 sur lequel tournait la dernière version d’Android (Android Lollipop 5.1.1). Sur la première, un MMS a été reçu depuis l’application Hangouts. « A ce niveau, un attaquant aurait peut-être déjà exécuté du code arbitraire », préviennent-ils. La seconde présente des notifications MMS qui affiche un aperçu du MMS, ce qui déclenche le code vulnérable. La troisième montre qu’aucun effet n’est perceptible lorsque vous déverrouillez votre dispositif et sur la quatrième, les chercheurs expliquent qu’à chaque fois que vous lisez le message MMS, que vous exécutez le fichier média (une vidéo dans le cas d’espèce) ou que vous faites pivoter votre écran, vous déclenchez le code vulnérable.
Google avait déjà parlé du « sandboxing » d’Android comme une méthode effective de protection de ses utilisateurs ; les applications, en général, ne peuvent qu’interagir via certains vecteurs afin d’empêcher un logiciel malveillant de subtiliser ou d’altérer les données d’autres applications. Raison pour laquelle un développeur a voulu savoir avec quel privilège s’exécute Stagefright. Ce à quoi Joshua Drake, le responsable de la recherche chez Zimperium, a répondu que Stagefright s’exécute avec une élévation de privilège et que dans certains cas il s’octroie même des privilèges systèmes.
Il faut tout de même préciser qu’il ne s’agit pas d’une faille dans le système de messagerie (MMS ou Hangouts pour ce cas particulier). La faiblesse réside dans le système d’exploitation en lui-même et faire un SMS est simplement la façon la plus facile qu’un pirate puisse utiliser pour attaquer sa victime sans qu’elle n’ait de moyen de se défendre.
Les versions Android qui sont vulnérables à Stagefright sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android, ce qui représente 950 millions d’appareils. Zimperium a alors contacté Google pour lui en parler mais a également proposé des correctifs en échange desquels Google a proposé une compensation financière.
« Google a agi promptement et appliqué les correctifs à ses branches de code interne dans les 48 heures, mais, malheureusement, ce n’est que le début de ce qui sera un très long processus de déploiement de mise à jour ».
Source : blog Zimperium, twitter Joshua J. Drake
Google déploie un second correctif pour Stagefright suite à un premier défectueux
Google déploie un second correctif pour Stagefright suite à un premier défectueux
les utilisateurs ne seront pas totalement protégés avant septembre
D’après l’expert en sécurité Rapid7, Google devrait revoir la façon dont il colmate les failles Android à la lumière des tentatives initiales ratées pour colmater la vulnérabilité Stagefright. Une critique qui est venue suite à la déclaration de Google lui-même qui a confirmé que les utilisateurs de ses Nexus, qui étaient les premiers à bénéficier d’un correctif de sécurité, ne seraient pas totalement protégés avant septembre.
Pour rappel, la vulnérabilité Stagefright, qui doit son nom à la librairie média dans laquelle les failles ont été trouvées (sept au total selon les CVE), est exploitable à partir du moment où des pirates ont votre numéro « grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS ». Les versions d’Android vulnérables sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android (ou encore 950 millions d’appareils).
La première semaine de ce mois, Google a amorcé le déploiement de six patchs pour colmater la faille. Pourtant, sur les six patchs proposés, les chercheurs en sécurité d’Exodus Intelligence ont remarqué une erreur dans le code proposé par Google. L’un d’eux, Jordan Gruskovnjak, a prévenu Google le 07 août dernier et a même modifié un fichier vidéo pour montrer que, malgré le correctif, la faille était toujours exploitable. La semaine dernière, Exodus a décidé de publier le code montrant comment cela était possible parce que « malgré notre notification (et leur confirmation), Google continue de déployer le correctif défectueux pour les dispositifs Android via des mises à jour OTA ».
Dans un billet, ils ont expliqué que « ce bug a focalisé une quantité excessive d’attention – nous pensons que nous ne sommes probablement pas les seuls à avoir remarqué cette imperfection. D’autres peuvent avoir des intentions malveillantes ». Puis de dire « Google emploie énormément en matière de sécurité, ils ont tellement de personnel qu’il y en a qui consacrent leur temps à examiner les logiciels d’autres éditeurs et les obligent à respecter une limite de délai dans la fourniture de correctif. Si Google ne peut pas démontrer sa capacité de remédier avec succès une vulnérabilité révélée qui affecte ses propres clients, alors quel espoir nous reste-t-il ? ».
Le problème était situé dans le patch qui devait corriger le problème répertorié sous CVE – 2015 – 3824 (soit Google Stagefright ‘tx3g’ MP4 Atom Integer Overflow).
Le lendemain, Google a publié a rendu disponible en open source un second correctif pour corriger ce problème. Bien que l’entreprise n’ait pas souhaité s’étendre, elle a cherché à minimiser les risques utilisateurs. « Actuellement, plus de 90 pour cent des appareils Android ont une technologie appelée ASLR (Address Space Layout Randomization) activée qui protège les utilisateurs contre ce problème. Nous avons déjà envoyé le correctif à nos partenaires pour protéger les utilisateurs, et les Nexus 4/5/6/7/9/10 ainsi que le Nexus Player recevront la mise à jour OTA dans la mise à jour de sécurité mensuelle Septembre » a déclaré Google.
Pour Tod Beardsley, directeur de l'ingénierie de la sécurité chez Rapid7 - la société derrière l'outil de test de pénétration Metasploit -, « le problème auquel Google est confronté n’est pas tellement de voir des failles de sécurité dans des produits logiciels populaires : tout le monde a des failles, ça arrive. Le véritable problème que nous observons aujourd'hui c’est une rupture dans le pipeline de patch Android ».
« Dans ce cas, deux éléments essentiels du processus de traitement des vulnérabilités de Google sont défaillants. Tout d'abord, il est extrêmement difficile pour Google, ou quelqu'un d'autre, de lancer des mises à jour logiciel chez les utilisateurs. Même les appareils Nexus, dont Google a le contrôle le plus direct, devront attendre un communiqué Septembre suite à cette mise à jour du patch Stagefright insuffisante. Ce temps de latence entre avoir un correctif sous la main et le distribuer à sa base d'utilisateurs est tout simplement trop lent pour être raisonnablement sûr. Si des acteurs malveillants choisissent d'exploiter cet ensemble de vulnérabilités dans le même temps, il semble que les utilisateurs lambda ne puissent rien faire pour se défendre », a averti Beardsley.
Si les chercheurs en sécurité de Google faisant partie de l’équipe Project Zero examinent régulièrement les codes source d’autres éditeurs puis les poussent à développer des correctifs aux failles rencontrées, il ne fait pas très bon de se retrouver de l’autre côté du miroir.
« L'autre rupture dans le processus de rétroaction Stagefright était la gestion de Google suite à l'alerte d’Exodus sur le correctif défectueux à laquelle ils n’ont pas répondu en temps opportun. Beaucoup d'entreprises ont du mal suite à un premier contact avec des chercheurs qui font des rapports vulnérabilités, mais ce n’est pas le premier rodéo de Google. Après tout, le Project Zero de Google signale les vulnérabilités à d'autres grands fournisseurs régulièrement avec certaines attentes en matière de communication. Ils doivent être en mesure de pratiquer ce qu'ils prêchent un peu mieux dans ce domaine si les utilisateurs d'Android doivent faire confiance à l’intendance de Google sur son code » a-t-il conclu.
Source : Blog Exodus, bulletins de sécurité Nexus (août 2015)
L'exploit Metaphor se sert de la même bibliothèque média que Stagefright
L'exploit Metaphor se sert de la même bibliothèque média que Stagefright,
la faille Android à laquelle près d'un milliard de dispositifs étaient vulnérables
L’année dernière, des chercheurs travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont nommée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Les versions d’Android qui étaient vulnérables étaient celles qui étaient postérieures à Android 2.2, soit approximativement 95 % du parc Android à ce moment (environ 950 millions d’appareils).
Suite à cette publication, Google avait déployé une vague de correctifs de sécurité. L’affaire devait donc déjà être classée. Pourtant, la société NorthBit a mis au point une attaque qui exploite la même bibliothèque média que Stagefright.
Baptisé Metaphor, le principe de cette manipulation consiste à créer un buffer overflow (débordement de la mémoire tampon) afin d’accéder à d’autres zones de l’appareil. Sa principale force consiste à contourner l’ASLR (Adress Space Layout Randomization) intégré depuis Android 4.1 et qui permet de rendre ces débordements inexploitables en empêchant les pirates de prédire le nouvel adressage grâce à un système aléatoire. Aussi, l’entreprise a annoncé pouvoir lancer une attaque sur les terminaux tournant à partir d’Android 2.2 jusqu’à la version 5.1.
Si Joshua Drake, vice-président de Zimperium, s’était appuyé sur la faille CVE-2015-1538, les chercheurs de NorthBit ont opté pour la faille CVE-2015-3864. Ainsi, avec Metaphor, ils sont parvenus à obtenir un accès complet aux fichiers de l’appareil de façon à pouvoir les copier et/ou supprimer, ainsi qu’au microphone et à la caméra. « Ils ont prouvé qu’il est possible d’utiliser une fuite d’informations pour contourner l’ASLR », a noté Joshua Drake. « Alors que tous mes exploits reposaient sur la force brute pour exploiter la faille, les leurs ne se servent pas d’une supposition en aveugle. En réalité ils tirent les informations du serveur média qui vont leur permettre de concevoir un exploit pour quiconque utilise l’appareil ».
Il faut noter que Metaphor fonctionne sur une base plus large de téléphones. Les correctifs précédents publiés par Google apportaient une immunité à des utilisateurs de la version 5.1 (ou supérieure) et, dans certains cas, apportaient également une immunité à ceux qui utilisaient la version 4.4 au minimum, a noté Drake. Avec Metaphor en revanche, les utilisateurs de la version 5.1 sont exposés, ce qui représente environ 19 pour cent du parc Android.
Dans leur analyse technique de cette vulnérabilité, les chercheurs ont expliqué que le code d’attaque doit être pensé pour fonctionner sur un modèle Android spécifique, ce qui rendrait improbable de faire un exploit universel. Toutefois, Drake a soutenu qu’il est possible pour un site web de modifier la charge délivrée à un dispositif après avoir vérifié son profil matériel et logiciel. Avec du travail additionnel, un site pourrait être conçu pour attaquer un large pourcentage de téléphones vulnérables.
Un porte-parole de Google a déclaré : « les dispositifs Android avec un correctif de sécurité datant du 1er octobre 2015 ou plus sont protégés grâce au patch que nous avons publié pour corriger ce problème (CVE-2015-3864) l’année dernière. Comme toujours, nous apprécions les efforts des chercheurs de la communauté puisqu’ils tendent à rendre l’écosystème Android plus sûr pour tous ».
Source : analyse technique de la vulnérabilité (au format PDF)