Deux nouvelles failles Stagefright menacent la totalité des appareils Android
Zimperium zLabs avait déjà découvert les premières failles StageFright qui menaçaient les appareils sous Android il y a quelques mois. L'équipe vient de retrouver deux nouvelles failles StageFright. Elle affirme que presque tous les appareils Android actuellement en circulation sont une cible potentielle pour les malwares.
Ces deux nouvelles failles sont les dernières d'une série de failles Stagefright qui commence à s'allonger. Le problème semble bien plus important que ce que l'on pensait jusqu'à maintenant. Plus d'un milliard d'appareils risquent gros si l'utilisateur déclenche un fichier audio ou vidéo dans un site internet ou une application tierce conçus pour exploiter ces vulnérabilités. Les cibles sont très nombreuses car la première faille découverte est exploitable dès Android 1.0, sorti en 2008. La deuxième faille est exploitable à partir de la version 5.0 et peut affecter également Marshmallow.
Ces failles présentent un gros risque. En les exploitant efficacement, un hacker peut lancer des programmes lui permettant d'accéder aux documents, de surveiller l'activité du réseau, d'enregistrer ce que l'on tape sur le clavier, d'allumer la caméra et d'enregistrer, ou bien simplement de rendre le téléphone inutilisable.
Google a déjà déclaré prévoir une mise à jour de sécurité pour ses nouveaux Nexus dès le 5 octobre. Mais les autres modèles de téléphones sous Android resteront vulnérables un peu plus longtemps. Cela pourra prendre du temps selon les marques et la popularité des téléphones. Heureusement, Google a partagé les codes de son patch avec les différents fabricants de smartphones Android pour accélérer les choses.
Il faut dire que les failles Stagefright s'enchaînent. ZLabs affirmait au moins de septembre en avoir dénombré une dizaine. L'équipe en avait déjà annoncé plusieurs autres au mois d’août dernier, et les patchs commencent à peine à arriver. Espérons que cette fois-ci les choses aillent plus rapidement.
