Comment 95% des téléphones Android peuvent être piratés avec un seul texte

Publicité

Une nouvelle vulnérabilité Android inquiète le monde de la sécurité et rend votre téléphone Android extrêmement vulnérable. Le problème se présente sous la forme de six bogues dans un module Android inoffensif appelé Trac, qui est utilisé pour la lecture multimédia.

Les bogues StageFright permettent à un MMS malveillant, envoyé par un pirate, d'exécuter du code malveillant à l'intérieur du module StageFright. À partir de là, le code dispose d'un certain nombre d'options pour prendre le contrôle de l'appareil. À l'heure actuelle, quelque 950 millions d'appareils sont vulnérables à cet exploit.

C'est, tout simplement, la pire vulnérabilité Android de l'histoire.

Prise de contrôle silencieuse

Les utilisateurs d'Android sont déjà de plus en plus contrariés par la violation, et pour cause. Une analyse rapide de Twitter montre de nombreux utilisateurs furieux à mesure que les nouvelles imprègnent le Web.

D'après ce que j'entends, même les appareils Nexus n'ont pas reçu de patch pour #Trac. A un téléphone? http://t.co/bnNRW75TrD

- Thomas Brewster (@iblametom) 27 juillet 2015

Une partie de ce qui rend cette attaque si effrayante est que peu d'utilisateurs peuvent faire pour se protéger contre elle. Probablement, ils ne sauraient même pas que l'attaque a eu lieu.

Normalement, pour attaquer un appareil Android, vous devez obliger l'utilisateur à installer une application malveillante. Cette attaque est différente: l'attaquant aurait simplement besoin de connaître votre numéro de téléphone et d'envoyer un message multimédia malveillant.

Selon l'application de messagerie que vous utilisez, vous ne savez peut-être même pas que le message est arrivé. Par exemple: si vos messages MMS passent par Google Hangouts d'Andoid Comment utiliser Google Hangouts sur votre AndroidGoogle+ Hangouts est la réponse de Google aux salles de chat. Vous pouvez passer du temps avec jusqu'à 12 personnes en utilisant le chat vidéo, audio et texte, ainsi que plusieurs applications en option. Hangout est disponible sur votre Android ... Lire la suite , le message malveillant pourrait prendre le contrôle et se cacher avant même que le système n'alerte l'utilisateur qu'il était arrivé. Dans d'autres cas, l'exploit peut ne pas démarrer tant que le message n'est pas réellement affiché, mais la plupart des utilisateurs le considèrent simplement comme inoffensif texte de spam Identifiez les numéros inconnus et bloquez les messages texte indésirables avec Truemessenger pour AndroidTruemessenger est une nouvelle application fantastique pour envoyer et recevoir des messages texte, et elle peut vous dire qui est un numéro inconnu et bloquer le spam. Lire la suite ou un mauvais numéro.

Une fois à l'intérieur du système, le code exécuté dans StageFright a automatiquement accès à la caméra et au microphone, ainsi qu'aux périphériques Bluetooth et à toutes les données stockées sur la carte SD. C'est déjà assez grave, mais (malheureusement) ce n'est que le début.

Pendant que Android Lollipop implémente un certain nombre d'améliorations de sécurité La mise à niveau de 8 façons vers Android Lollipop rend votre téléphone plus sûrNos smartphones regorgent d'informations sensibles, alors comment pouvons-nous rester en sécurité? Avec Android Lollipop, qui donne un coup de poing dans l'arène de la sécurité, apportant des fonctionnalités qui améliorent la sécurité à tous les niveaux. Lire la suite , la plupart des appareils Android sont toujours en cours d'exécution des anciennes versions du système d'exploitation Un guide rapide des versions et mises à jour Android [Android]Si quelqu'un vous dit qu'il exécute Android, il n'en dit pas autant que vous le pensez. Contrairement aux principaux systèmes d'exploitation informatiques, Android est un système d'exploitation large qui couvre de nombreuses versions et plates-formes. Si tu veux... Lire la suite et sont vulnérables à ce que l'on appelle une «attaque par élévation de privilèges». Normalement, les applications Android sont «bac à sable Qu'est-ce qu'un bac à sable et pourquoi devriez-vous jouer en un?Les programmes hautement connectifs peuvent faire beaucoup, mais ils sont également une invitation ouverte aux pirates informatiques malveillants à frapper. Pour éviter que les grèves ne réussissent, un développeur devrait repérer et fermer chaque trou dans ... Lire la suite ", Leur permettant d'accéder uniquement aux aspects du système d'exploitation pour lesquels ils ont reçu l'autorisation explicite d'utiliser. Les attaques par escalade de privilèges permettent au code malveillant de «tromper» le système d'exploitation Android pour lui donner de plus en plus accès à l'appareil.

Une fois que le MMS malveillant a pris le contrôle de StageFright, il pourrait utiliser ces attaques pour prendre le contrôle total des appareils Android plus anciens et non sécurisés. Il s'agit d'un scénario cauchemardesque pour la sécurité des appareils. Les seuls appareils totalement immunisés contre ce problème sont ceux qui exécutent des systèmes d'exploitation plus anciens que Android 2.2 (Froyo), qui est la version qui a introduit StageFright en premier lieu.

Réponse lente

La vulnérabilité StageFright a été découverte à l'origine en avril par Zimperium zLabs, un groupe de chercheurs en sécurité. Les chercheurs ont signalé le problème à Google. Google a rapidement publié un correctif pour les fabricants.Toutefois, très peu de fabricants d'appareils ont réellement appliqué le correctif à leurs appareils. Le chercheur qui a découvert le bug, Joshua Drake, estime qu'environ 950 millions du milliard d'appareils Android en circulation, selon les estimations, sont vulnérables à une certaine forme d'attaque.

Yay! @BlackHatEvents a gracieusement accepté ma soumission pour parler de mes recherches sur @Android's StageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 20 mai 2015

Les propres appareils de Google comme le Nexus 6 ont été partiellement corrigés selon Drake, bien que certaines vulnérabilités demeurent. Dans un e-mail à FORBES à ce sujet, Google a rassuré les utilisateurs que,

«La plupart des appareils Android, y compris tous les appareils plus récents, disposent de plusieurs technologies conçues pour rendre l'exploitation plus difficile. Les appareils Android incluent également un bac à sable d'application conçu pour protéger les données des utilisateurs et d'autres applications sur l'appareil »,

Cependant, ce n'est pas beaucoup de confort. Jusqu'à ce que Android Jellybean Les 12 meilleurs conseils Jelly Bean pour une nouvelle expérience de tablette GoogleAndroid Jelly Bean 4.2, initialement livré sur le Nexus 7, offre une excellente nouvelle expérience de tablette qui éclipse les versions précédentes d'Android. Cela a même impressionné notre fan Apple résident. Si vous avez un Nexus 7, ... Lire la suite , le sandboxing dans Android a été relativement faible, et il existe plusieurs exploits connus qui peuvent être utilisés pour le contourner. Il est vraiment crucial que les fabricants déploient un correctif approprié pour ce problème.

Que pouvez-vous faire?

Malheureusement, les fabricants de matériel peuvent être extrêmement lents à déployer ce type de correctifs de sécurité critiques. Cela vaut certainement la peine de contacter le service d’assistance client du fabricant de votre appareil et de demander une estimation de la disponibilité des correctifs. La pression du public aidera probablement à accélérer les choses.

Pour sa part, Drake prévoit de révéler toute l'étendue de ses conclusions au DEFCON, une conférence internationale sur la sécurité qui a lieu début août. Espérons que la publicité supplémentaire incitera les fabricants d'appareils à publier rapidement des mises à jour, maintenant que l'attaque est de notoriété publique.

Plus largement, c'est un bon exemple de la raison pour laquelle la fragmentation Android est un tel cauchemar pour la sécurité.

Encore une fois, c'est un désastre #Android les mises à jour sont entre les mains des fabricants de matériel. Cela devrait nuire sérieusement à Android. #Trac

- Mike? (@mipesom) 27 juillet 2015

Sur un écosystème verrouillé comme iOS, un patch pour cela pourrait être précipité en quelques heures. Sur Android, il peut falloir des mois ou des années pour que chaque appareil soit à jour en raison de l'énorme niveau de fragmentation. Je suis intéressé de voir quelles solutions Google proposera dans les années à venir pour commencer à mettre ces mises à jour essentielles à la sécurité hors de portée des fabricants d'appareils.

Êtes-vous un utilisateur Android concerné par ce problème? Préoccupé par votre vie privée? Faites-nous part de vos réflexions dans les commentaires!

Crédit d'image: Clavier rétro-éclairé par Wikimedia