Android : une simple vidéo permet de pirater des millions de smartphones

Une simple vidéo permet de pirater des millions de smartphones Android. Le problème vient d’une faille dans le framework Android Media. Google propose un patch depuis début juillet, mais des millions de smartphones restent vulnérables. D’autant plus qu’un développeur propose des fichiers vidéos vérolés qui montrent cette faille en action.

vidéo malware Android
Pixabay + Phonandroid

Joie et confettis ! La famille des vecteurs d’attaque sous Android s’agrandit, avec les vidéos. Youpi… Une faille critique touche le fonctionnement d’Android media framework – l’API qui permet aux applications de lire les vidéos – lorsqu’utilisé avec le format de compression HEVC. Cette faille critique (CVE-2019-2107) permet alors d’exécuter du code arbitraire sur le smartphone cible.

Une simple vidéo peut permettre d’injecter du code malicieux sur les smartphones Android

Tout ce que l’attaquant doit faire, c’est d’inciter sa victime à  lire une vidéo spécialement modifiée via le lecteur de vidéos natif d’Android. Il peut alors avec un payload, obtenir une élévation de privilèges, puis le contrôle total de l’appareil. Google est au courant de cette faille, qui touche toutes les versions d’Android 7.0 et ultérieures et propose même un patch de sécurité depuis le début du mois.

Mais des millions de smartphones concernés attendent encore de recevoir ce patch – poussé comme toujours plus ou moins vite en fonction des marques. Pour ne rien arranger, un développeur Android, Marcin Kozlowski, a mis en ligne une démonstration de faisabilité (ce que les anglo-saxons appellent « proof of concept ») sur GitHub. Il proposes sur son compte plusieurs fichiers qui provoquent le crash des smartphones Android.

Ainsi que des explications… une conjonction d’informations qui devrait faciliter la tâche de potentiels hackers souhaitant exploiter cette faille pour injecter du code arbitraire sur des smartphones-cible. Le blog The Hacker News précise néanmoins que pour l’attaque fonctionne, il faut que le fichier vidéo soit ouvert tel quel : les messageries comme WhatsApp et Facebook Messenger compressent systématiquement les vidéos, ce qui distord leur code malicieux.

Lire également : ce spyware des services secrets russes se cache dans de faux APK de Pornhub et Google Play

Pour se protéger, il y a donc deux conseil : d’abord mettre à jour votre smartphone dès qu’un patch de sécurité sera disponible. A fortiori si vous voyez dans les notes de version que cette mise à jour corrige la faille CVE-2019-2107. L’autre c’est de ne jamais, en attendant, télécharger et ouvrir des vidéos de sources inconnues – hors de WhatsApp et Facebook Messenger.

Source : The Hacker News

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…

NordVPN : des faux sites propagent un dangereux malware bancaire

Des pirates profitent de la popularité de NordVPN pour diffuser Win32.Bolik.2, un malware bancaire sur l’ordinateur de leurs victimes. Des faux sites, imitant à la perfection l’interface de celui de NordVPN, propagent en effet des versions vérolées du célèbre VPN. Une…

Impots.gouv : environ 2000 comptes victimes d’un piratage

Les comptes impots.gouv d’environ 2000 administrés ont subi un piratage : des pirates sont parvenus à accéder aux déclarations d’impôts et les modifier. Les agents de Bercy affirment avoir néanmoins pu reprendre rapidement le contrôle de la situation et avertir…

WhatsApp, Skype et Slack sont victimes d’une faille de sécurité

WhatsApp, Skype et Slack sont vulnérables. Ces trois logiciels reposent sur la technologie Electron, qui présente une importante faille de sécurité. Les développeurs ont été prévenus, mais ils font pour l’instant la sourde oreille et aucun correctif n’a été déployé…