Vous êtes sous Android ? Méfiez-vous des fichiers MP3/MP4 !
Google a fait en sorte de sécuriser au maximum sa plateforme mobile mais aucun système n’est fiable à 100% et Android ne fait pas exception à la règle. Preuve en est, des chercheurs en sécurité travaillant pour Zimperium ont découvert une nouvelle faille qui permet de pirater n’importe quel terminal à distance à l’aide d’un fichier MP3 ou MP4.
Je ne sais pas si vous vous rappeler de Stagefright. Cette faille a fait beaucoup parler d’elle cet été et cela n’a rien de surprenant car elle permettant à une personne malintentionnée de pirater un téléphone sous Android à l’aide d’un simple MMS.
L’affaire avait fait beaucoup de bruit à l’époque et elle avait même été évoquée en long, en large et en travers dans cet article.
Stagefright 2 se concentre cette fois sur les fichiers MP3 et MP4
Entre temps, les chercheurs de Zimperium ont pas mal bossé sur le sujet et ils se sont rendus compte que la situation était encore pire que prévue. Ils ont effectivement découvert une autre faille similaire, baptisée cette fois… Stagefright 2.
Il faut croire qu’ils n’étaient pas très inspirés ce jour là.
Elle fonctionne un peu comme l’autre faille, à une exception près : cette fois, il n’est pas nécessaire de passer par un MMS pour prendre le contrôle du terminal. Non, en réalité, un simple fichier MP3 ou MP4 suffit et c’est précisément ce qui rend cette faille aussi dangereuse car ces formats sont très répandus sur les internets.
Et dans les faits, il suffit aux pirates de diffuser des fichiers (modifiés) de ce type sur des sites web pour répandre l’infection et toucher un maximum de personnes.
Mais le pire reste à venir car Stagefright 2 peut s’appuyer sur deux librairies différentes : “libstagefright” et “libutils”. Si la première est uniquement présente sur les terminaux fonctionnant sous Lollipop, la seconde est installée sur toutes les versions de la plateforme.
Zimperium a fait le choix de ne pas expliquer le fonctionnement de cette faille et de ne pas publier de vidéos de démonstration pour éviter qu’elle ne soit exploitée. L’agence va tout de même contacter ses partenaires pour les avertir et elle va aussi mettre à jour leur outil dédié une fois que Google aura corrigé la faille.
En attendant, faites très attention aux sites que vous fréquentez et évitez surtout de télécharger des fichiers MP3 et des fichiers MP4 sur des pages que vous ne connaissez pas.
