Stagefright d'Android Exploitez ce que vous devez savoir et comment vous protéger
Android a un énorme problème de sécurité dans un composant appelé «Stagefright». Le simple fait de recevoir un message MMS malveillant pourrait compromettre votre téléphone. Il est surprenant que nous n'ayons pas vu un ver se propager de téléphone en téléphone comme le faisait le ver au début de Windows XP - tous les ingrédients sont réunis..
C'est en fait un peu pire que ça en a l'air. Les médias se sont largement concentrés sur la méthode d'attaque MMS, mais même les vidéos MP4 intégrées dans des pages Web ou des applications peuvent compromettre votre téléphone ou votre tablette..
Pourquoi le défaut Stagefright est dangereux - Ce n'est pas que du MMS
Certains commentateurs ont appelé cette attaque «Stagefright», mais il s’agit en réalité d’une attaque contre un composant sous Android appelé Stagefright. Ceci est un composant de lecteur multimédia sous Android. Il comporte une vulnérabilité qui peut être exploitée - le plus dangereusement via un MMS, qui est un message texte avec des composants multimédias intégrés.
De nombreux fabricants de téléphones Android ont imprudemment choisi d'octroyer des autorisations système à Stagefright, une étape après l'accès root. L'exploitation de Stagefright permet à un attaquant de faire exécuter du code arbtirary avec les permissions «media» ou «system», selon la configuration du périphérique. Les autorisations système donneraient à l'attaquant un accès pratiquement complet à son appareil. Zimperium, l'organisation qui a découvert et signalé le problème, offre plus de détails..
Les applications de messagerie texte Android classiques récupèrent automatiquement les messages MMS entrants. Cela signifie que vous pourriez être compromis simplement par le fait que quelqu'un vous envoie un message par le réseau téléphonique. Lorsque votre téléphone est compromis, un ver utilisant cette vulnérabilité pourrait lire vos contacts et envoyer des messages MMS malveillants à vos contacts, se propageant comme une traînée de poudre comme le virus Melissa l'avait fait en 1999 à l'aide d'Outlook et de contacts de messagerie..
Les rapports initiaux étaient axés sur le MMS, car c’était le vecteur le plus dangereux que Stagefright pouvait exploiter. Mais ce n'est pas juste le MMS. Comme Trend Micro l'a souligné, cette vulnérabilité se trouve dans le composant «mediaserver» et un fichier MP4 malveillant incorporé à une page Web pourrait l'exploiter - oui, il suffit de naviguer vers une page Web de votre navigateur Web. Un fichier MP4 intégré dans une application qui veut exploiter votre appareil pourrait faire la même chose.
Votre smartphone ou tablette est-il vulnérable??
Votre appareil Android est probablement vulnérable. Quatre-vingt quinze pour cent des appareils Android à l'état sauvage sont vulnérables à Stagefright.
Pour vous en assurer, installez l’application Stagefright Detector à partir de Google Play. Cette application a été réalisée par Zimperium, qui a découvert et signalé la vulnérabilité de Stagefright. Il va vérifier votre appareil et vous dire si Stagefright a été corrigé ou non sur votre téléphone Android..
Comment prévenir les attaques de Stagefright si vous êtes vulnérable
Autant que nous sachions, les applications antivirus Android ne vous sauveront pas des attaques de Stagefright. Ils ne disposent pas nécessairement des autorisations système nécessaires pour intercepter les messages MMS et interférer avec les composants du système. Google ne peut pas non plus mettre à jour le composant Services Google Play dans Android pour résoudre ce problème, une solution de patchwork souvent utilisée par Google lorsque des failles de sécurité apparaissent.
Pour vraiment vous empêcher d'être compromis, vous devez empêcher votre application de messagerie choisie de télécharger et de lancer des messages MMS. En général, cela signifie que vous désactivez le paramètre «Récupération automatique MMS» dans ses paramètres. Lorsque vous recevez un message MMS, celui-ci ne se télécharge pas automatiquement. Vous devez le télécharger en appuyant sur un espace réservé ou quelque chose de similaire. Vous ne courez aucun risque si vous ne téléchargez pas le MMS..
Tu ne devrais pas faire ça. Si le MMS provient de quelqu'un que vous ne connaissez pas, ignorez-le définitivement. Si le MMS provient d'un ami, il est possible que son téléphone soit compromis si un ver commence à décoller. Il est plus sûr de ne jamais télécharger les messages MMS si votre téléphone est vulnérable..
Pour désactiver la récupération automatique des messages MMS, suivez les étapes appropriées pour votre application de messagerie..
- Messagerie (intégré à Android): Ouvrez Messaging, appuyez sur le bouton du menu, puis appuyez sur Paramètres. Faites défiler la liste jusqu'à la section «Messages multimédia (MMS)» et décochez la case «Récupération automatique».
- Messager (par Google): ouvrez Messenger, appuyez sur le menu, sur Paramètres, sur Avancé et désactivez «Récupération automatique».
- Hangouts (par Google): ouvrez Hangouts, appuyez sur le menu, puis sélectionnez Paramètres> SMS. Décochez la case "Récupération automatique du SMS" sous Avancé. (Si vous ne voyez pas les options SMS ici, votre téléphone n'utilise pas Hangouts pour SMS. Désactivez le paramètre dans l'application SMS que vous utilisez.)
- messages (par Samsung): ouvrez Messages et accédez à Plus> Paramètres> Plus de paramètres. Appuyez sur Messages multimédias et désactivez l'option «Récupération automatique». Ce paramètre peut être placé à un emplacement différent sur différents appareils Samsung, qui utilisent différentes versions de l'application Messages..
Il est impossible de construire une liste complète ici. Ouvrez simplement l'application que vous utilisez pour envoyer des messages SMS (messages texte) et recherchez une option qui désactivera la «récupération automatique» ou le «téléchargement automatique» des messages MMS..
AttentionSi vous choisissez de télécharger un message MMS, vous êtes toujours vulnérable. Et, comme la vulnérabilité de Stagefright n'est pas simplement un problème de message MMS, cela ne vous protégera pas complètement de tout type d'attaque..
Quand votre téléphone reçoit-il un patch??
Plutôt que d'essayer de contourner le bogue, il serait préférable que votre téléphone reçoive une mise à jour qui le corrige. Malheureusement, la situation de mise à jour Android est actuellement un cauchemar. Si vous avez un téléphone phare récent, vous pouvez probablement vous attendre à une mise à niveau à un moment donné - espérons-le. Si vous avez un téléphone plus ancien, en particulier un téléphone bas de gamme, il y a de fortes chances que vous ne receviez jamais de mise à jour..
- Appareils Nexus: Google a publié des mises à jour pour les Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 et Nexus 10. L'original Nexus 7 (2012) n'est apparemment plus pris en charge et ne sera pas corrigé.
- Samsung: Sprint a commencé à publier des mises à jour des Galaxy S5, S6, S6 Edge et Note Edge. Il est difficile de savoir quand d'autres transporteurs publient ces mises à jour..
Google a également déclaré à Ars Technica que «les appareils Android les plus populaires» seraient mis à jour en août, notamment:
- Samsung: Le Galaxy S3, S4 et Note 4, en plus des téléphones ci-dessus.
- HTC: Les One M7, One M8 et One M9.
- LG: Les G2, G3 et G4.
- Sony: Les Xperia Z2, Z3, Z4 et Z3 Compact.
- Android One appareils pris en charge par Google
Motorola a également annoncé qu'il remettrait à jour ses téléphones avec des mises à jour à compter du mois d'août, notamment les modèles Moto X (1re et 2e générations), Moto X Pro, Moto Maxx / Turbo, Moto G (1re, 2e et 3e générations), Moto G avec 4G LTE (1ère et 2ème génération), Moto E (1ère et 2ème génération), Moto E avec 4G LTE (2ème génération), DROID Turbo et DROID Ultra / Mini / Maxx.
Google Nexus, Samsung et LG se sont tous engagés à mettre à jour leurs téléphones avec les mises à jour de sécurité une fois par mois. Cependant, cette promesse ne concerne réellement que les téléphones phares et nécessiterait la coopération des opérateurs. On ne sait pas si cela fonctionnerait bien. Les opérateurs pourraient potentiellement faire obstacle à ces mises à jour, ce qui laisse encore un grand nombre - des milliers de modèles différents - de téléphones en cours d'utilisation sans la mise à jour..
Ou simplement installer CyanogenMod
CyanogenMod est une ROM d’Android personnalisée tierce souvent utilisée par les amateurs. Il apporte une version actuelle d'Android aux appareils que les fabricants ont cessé de supporter. Ce n'est pas vraiment la solution idéale pour une personne moyenne, car elle nécessite de déverrouiller le chargeur de démarrage de votre téléphone. Toutefois, si votre téléphone est pris en charge, vous pouvez utiliser cette astuce pour obtenir une version actuelle d’Android avec les mises à jour de sécurité actuelles. Ce n'est pas une mauvaise idée d'installer CyanogenMod si votre téléphone n'est plus pris en charge par son fabricant..
CyanogenMod a corrigé la vulnérabilité de Stagefright dans les versions nocturnes, et le correctif devrait bientôt passer à la version stable via une mise à jour OTA.
Android a un problème: la plupart des appareils ne reçoivent pas de mises à jour de sécurité
Tristement, il ne s’agit là que de l’une des nombreuses failles de sécurité accumulées par les anciens appareils Android. C'est un problème particulièrement grave qui attire plus d'attention. La majorité des appareils Android - tous les appareils fonctionnant sous Android 4.3 et plus ancien - ont un composant de navigateur Web vulnérable, par exemple. Cela ne sera jamais corrigé à moins que les appareils ne passent à une version plus récente d'Android. Vous pouvez vous protéger contre ce problème en exécutant Chrome ou Firefox, mais ce navigateur vulnérable sera toujours utilisé sur ces appareils jusqu'à ce qu'ils soient remplacés. Les fabricants ne sont pas intéressés par leur mise à jour et leur maintenance. C'est pourquoi tant de gens se sont tournés vers CyanogenMod..
Google, les fabricants d'appareils Android et les opérateurs de téléphonie mobile doivent mettre de l'ordre dans leurs actions, car la méthode actuelle de mise à jour - ou plutôt de non mise à jour - des appareils Android crée un écosystème Android qui crée des trous au fil du temps. C'est pourquoi les iPhones sont plus sécurisés que les téléphones Android - les iPhones bénéficient en réalité de mises à jour de sécurité. Apple s'est engagé à mettre à jour les iPhones plus longtemps que Google (téléphones Nexus uniquement), Samsung et LG s'engagent également à mettre à niveau leurs téléphones..
Vous avez probablement entendu dire que l'utilisation de Windows XP est dangereuse car elle n'est plus mise à jour. XP continuera à créer des failles de sécurité au fil du temps et deviendra de plus en plus vulnérable. La plupart des téléphones Android utilisent la même méthode: ils ne reçoivent pas non plus de mises à jour de sécurité..
Certaines mesures d'atténuation pourraient aider à empêcher un ver Stagefright de s'emparer de millions de téléphones Android. Google affirme que ASLR et d'autres protections sur des versions plus récentes d'Android empêchent Stagefright d'être attaqué, ce qui semble être partiellement vrai..
Certains opérateurs cellulaires semblent également bloquer les messages MMS potentiellement malveillants, les empêchant ainsi d’atteindre les téléphones vulnérables. Cela aiderait à empêcher un ver de se propager via des messages MMS, du moins chez les opérateurs qui prennent des mesures..
Crédit d'image: Matteo Doni sur Flickr