Android : une simple vidéo permet de pirater des millions de smartphones

Une simple vidéo permet de pirater des millions de smartphones Android. Le problème vient d'une faille dans le framework Android Media. Google propose un patch depuis début juillet, mais des millions de smartphones restent vulnérables. D'autant plus qu'un développeur propose des fichiers vidéos vérolés qui montrent cette faille en action.

vidéo malware Android
Pixabay + Phonandroid

Joie et confettis ! La famille des vecteurs d'attaque sous Android s'agrandit, avec les vidéos. Youpi… Une faille critique touche le fonctionnement d'Android media framework – l'API qui permet aux applications de lire les vidéos – lorsqu'utilisé avec le format de compression HEVC. Cette faille critique (CVE-2019-2107) permet alors d'exécuter du code arbitraire sur le smartphone cible.

Une simple vidéo peut permettre d'injecter du code malicieux sur les smartphones Android

Tout ce que l'attaquant doit faire, c'est d'inciter sa victime à  lire une vidéo spécialement modifiée via le lecteur de vidéos natif d'Android. Il peut alors avec un payload, obtenir une élévation de privilèges, puis le contrôle total de l'appareil. Google est au courant de cette faille, qui touche toutes les versions d'Android 7.0 et ultérieures et propose même un patch de sécurité depuis le début du mois.

Mais des millions de smartphones concernés attendent encore de recevoir ce patch – poussé comme toujours plus ou moins vite en fonction des marques. Pour ne rien arranger, un développeur Android, Marcin Kozlowski, a mis en ligne une démonstration de faisabilité (ce que les anglo-saxons appellent “proof of concept”) sur GitHub. Il proposes sur son compte plusieurs fichiers qui provoquent le crash des smartphones Android.

Ainsi que des explications… une conjonction d'informations qui devrait faciliter la tâche de potentiels hackers souhaitant exploiter cette faille pour injecter du code arbitraire sur des smartphones-cible. Le blog The Hacker News précise néanmoins que pour l'attaque fonctionne, il faut que le fichier vidéo soit ouvert tel quel : les messageries comme WhatsApp et Facebook Messenger compressent systématiquement les vidéos, ce qui distord leur code malicieux.

Lire également : ce spyware des services secrets russes se cache dans de faux APK de Pornhub et Google Play

Pour se protéger, il y a donc deux conseil : d'abord mettre à jour votre smartphone dès qu'un patch de sécurité sera disponible. A fortiori si vous voyez dans les notes de version que cette mise à jour corrige la faille CVE-2019-2107. L'autre c'est de ne jamais, en attendant, télécharger et ouvrir des vidéos de sources inconnues – hors de WhatsApp et Facebook Messenger.

Source : The Hacker News

Réagissez à cet article !

Demandez nos derniers articles !

Apple Watch Series 12 : ce changement de capteur inédit pourrait tout changer

La prochaine montre connectée d’Apple pourrait révolutionner l’industrie. L’Apple Watch Series 12 pourrait en effet intégrer un nouveau capteur de santé à un emplacement inédit. On vous explique tout. Dans…

Galaxy Watch 9 et Ultra 2 : Samsung préparerait du lourd, les nouveaux cadrans ont fuité

Les prochaines montres connectées de Samsung se dévoilent déjà. Une fuite nous montre ce qui pourrait être les nouveaux cadrans des Galaxy Watch 9 et autres Galaxy Watch Ultra 2…

L’attente de GTA 6 vire à l’obsession, ce couple prend une décision complètement folle

Pour certains fans, la passion pour GTA 6 n’a pas de limite. Un couple a ainsi passé un véritable contrat, qui impose plusieurs règles aux signataires concernant le prochain volet…

Samsung pourrait faire exploser le prix de la RAM, préparez-vous au choc

Coup de tonnerre dans l’industrie de l’électronique. Malgré l’actuelle crise des composants, Samsung aurait décidé d’augmenter une nouvelle fois le prix de ses puces mémoire DRAM. Une décision qui pourrait…

Google Wallet s’améliore sur Wear OS, cette nouveauté va vous simplifier la vie

L’application de paiement de Google s’enrichit. Celle-ci facilite notamment la gestion de vos dépenses effectuées via votre montre connectée Wear OS. Google n’en finit plus d’optimiser sa célèbre application de…

Google Maps va encore plus loin : l’application pourrait commander votre repas à votre place

Google Maps cacherait une fonctionnalité bien pratique pour les amateurs de restaurants. Celle-ci permettrait de grandement faciliter la récupération de vos plats favoris alors même que vous êtes sur la…

Un iPhone pliant se prépare, l’écran du Galaxy S27 se dévoile, c’est le récap’ de la semaine

L’événement d’Apple dévoilera ses futurs smartphones Pro ainsi qu’un premier modèle pliant, la nouvelle console de Valve se retrouve déjà victime de spéculation, Samsung a pris sa décision finale concernant…

Steam Machine : Valve vous permet de fabriquer cet accessoire indispensable

Fabriquer vous-même un accessoire essentiel de la Steam Machine, c’est désormais possible. Valve vient en effet de partager en open source les éléments nécessaires à sa fabrication. Le moins que…

Volkswagen enterre l’ID.4, mais le successeur du SUV électrique s’annonce bien plus ambitieux

Le SUV électrique Volkswagen ID.4 va bientôt tirer sa révérence. Le fabricant allemand s’apprête en effet à remplacer progressivement ce dernier par le Volkswagen ID. Tiguan, qui bénéficiera d’améliorations conséquentes….

ColorOS partout ? Oppo envisagerait un changement radical pour OnePlus et Realme

Les interfaces Android OxygenOS et Realme UI appartiendraient peut-être bientôt au passé. Oppo prévoirait en effet d’équiper les smartphones OnePlus et Realme de ColorOS, qui viendrait remplacer les précédentes interfaces….