Avec ses parts de marché qui progressent, Android semble avoir toute l’attention des chercheurs en sécurité. C’est la seconde faille découverte en moins d’une semaine
Android, aussi troué qu’un gruyère ?
Une nouvelle faille de sécurité vient d’être révélé par les chercheurs de Trend Micro. Pas n’importe laquelle puisque celle-ci est capable de rendre votre appareil totalement inutilisable. Si vous êtes une victime de cette faille, votre smartphone ne vous servira ensuite que de presse papier.
Cette vulnérabilité est présente depuis Android Jelly Bean (4.3) jusqu’à Lollipop (5.1). Ce qui représente déjà un très grand nombre de victimes potentielles. Elle réside dans l’outil d’indexation du service de serveur média du système d’exploitation de google. Pour l’exploiter il faut lancer une vidéo au format MKV spécialement formée afin de provoquer un buffer overflow de l’appareil. Ce plantage provoquerait la mort instantané du téléphone. Ce dernier devenant incapable de sortir le moindre son, d’afficher le moindre pixel ou de répondre au moindre contact avec l’écran tactile. Dans de rares cas où l’écran reste allumé et que l’utilisateur reçoit une notification d’un SMS ou d’un appel, il sera impossible d’y répondre tellement le téléphone devient lent.
Une faille, plusieurs façons de l’exploiter
Wish Wu, le chercheur en informatique de Trend Micro qui a découvert cette faille, explique que la vulnérabilité peut être exploité de 2 façons. La première à faire en sorte que la victime visite un site contenant la vidéo mal formée. Dans ce cas, un simple redémarrage de l’appareil peut suffire à résoudre le problème. La seconde méthode est d’installer cette vidéo sur le smartphone par le biais d’une application que la victime aura téléchargé. Cette méthode est la plus dangereuse car android pourra de nouveau relire cette vidéo après le redémarrage entraînant le plantage du système et donc de l’appareil …
Le chercheur a d’ors et déjà prévenu Google qui a classé cette faille dans les dossiers « non prioritaires ». c’est à se demander ce qu’il leur faut pour que cela soit prioritaire … Cette faille est la seconde a être révélé en moins d’une semaine. On pourrait alors se demander si android ne serait pas un peu trop troué ! Même si en informatique, aucun système n’est infaillible, il faut relativiser les choses. Si beaucoup de failles sont annoncées, c’est surtout parce que la Black Hat se tiendra à Las Vegas du 1er au 6 août prochain. Cet événement regroupe les meilleurs chercheurs en sécurité informatique et révéler des failles juste avant et pour eux, l’occasion de se faire un peu de publicité et de mettre toute la lumière sur eux.