IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Stagefright : Google réagit et avance avoir transmis une solution à ses partenaires
Afin de protéger les utilisateurs

Le , par Stéphane le calme

5PARTAGES

0  0 

Mise à jour du 29/07/2015, communiqué de Google relatif aux dispositions prises pour Stagefright

Concernant la faille Stagefright, un porte-parole de Google a déclaré « cette vulnérabilité a été identifiée en laboratoire sur des appareils Android plus anciens et, à notre connaissance, personne n'a été touché. Dès que nous avons été informés de la vulnérabilité, nous avons immédiatement agi et transmis une solution à nos partenaires afin de protéger les utilisateurs ... ».

Et de continuer en disant « dans le cadre d'une mise à jour régulière prévue, nous avons prévu de renforcer les protections sur les appareils Nexus à partir de la semaine prochaine. Par la suite, nous publierons ces protections en open source quand les détails seront rendus publics par le chercheur durant le Black Hat ». Notons qu’une vidéo de démonstration sera publiée plus tard dans la semaine et un code d’exploitation sera fourni durant la conférence Black Hat en même temps qu’un patch en open source.

Il convient de préciser que Stagefright doit son nom à la librairie média dans laquelle les failles ont été trouvées, sept au total pour être plus spécifiques (confère les CVE plus bas). Cette bibliothèque média est également utilisée sur d’autres écosystèmes comme sur le Blackphone et sur Firefox OS. Silent Circle et Mozilla ont déjà publié les correctifs nécessaires.

Du côté d’Android, l’opération va s’avérer un peu plus épineuse dans le sens où les déploiements des mises à jour dans cet écosystème dépendent également des constructeurs. C’est-à-dire que Samsung, HTC, LG, Motorola, Sony et d’autres constructeurs seront responsables du déploiement des correctifs pour leurs utilisateurs. La bonne nouvelle est que les constructeurs semblent vouloir réagir au plus vite comme a expliqué un porte-parole de HTC qui a avancé « Google a informé HTC du problème et fournit les correctifs nécessaires que HTC a commencé à inclure dans ses projets en début du mois de juillet. Tous les futurs projets embarqueront le correctif requis ».

Comme pour calmer un peu le jeu, l’ingénieur Google Adrian Ludwig précise : « il y a une fausse supposition commune selon laquelle n’importe quel bug logiciel peut être transformé en exploit de sécurité. Dans les faits, de nombreux bugs ne sont pas exploitables et il y a plusieurs choses qu’Android a faites pour corriger cela ».

Android Police, Adrian Ludwig (Google+)

Des chercheurs en sécurité travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont baptisée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Etant donné que l’exécution des médias se doit d’être rapide pour le confort des utilisateurs, cette bibliothèque a été implémentée en C++ « qui est plus sujet aux corruptions de mémoire que des langages comme Java ».

« Les attaquants n’ont besoin que de votre numéro de téléphone, grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS. Une attaque entièrement réussie peut même aller jusqu’à effacer le message avant que vous ne le lisiez. Vous n’en verrez que la notification. Ces vulnérabilités sont extrêmement dangereuses parce qu’elles ne requièrent aucune interaction de la part de la victime pour être exploitées. Contrairement aux attaques par hameçonnage, où la victime devrait au préalable ouvrir un fichier PDF ou un lien envoyé par l’attaquant, cette vulnérabilité peut être déclenchée pendant que vous dormez. Avant votre réveil, l’attaquant va éliminer toutes traces de compromission de votre appareil et vous continuerez votre journée comme à l’accoutumée – avec un téléphone comprenant un cheval de Troie », ont expliqué les chercheurs.

Pour une meilleure illustration, ils ont fourni des captures d’écran prise sur un Nexus 5 sur lequel tournait la dernière version d’Android (Android Lollipop 5.1.1). Sur la première, un MMS a été reçu depuis l’application Hangouts. « A ce niveau, un attaquant aurait peut-être déjà exécuté du code arbitraire », préviennent-ils. La seconde présente des notifications MMS qui affiche un aperçu du MMS, ce qui déclenche le code vulnérable. La troisième montre qu’aucun effet n’est perceptible lorsque vous déverrouillez votre dispositif et sur la quatrième, les chercheurs expliquent qu’à chaque fois que vous lisez le message MMS, que vous exécutez le fichier média (une vidéo dans le cas d’espèce) ou que vous faites pivoter votre écran, vous déclenchez le code vulnérable.


Google avait déjà parlé du « sandboxing » d’Android comme une méthode effective de protection de ses utilisateurs ; les applications, en général, ne peuvent qu’interagir via certains vecteurs afin d’empêcher un logiciel malveillant de subtiliser ou d’altérer les données d’autres applications. Raison pour laquelle un développeur a voulu savoir avec quel privilège s’exécute Stagefright. Ce à quoi Joshua Drake, le responsable de la recherche chez Zimperium, a répondu que Stagefright s’exécute avec une élévation de privilège et que dans certains cas il s’octroie même des privilèges systèmes.

Il faut tout de même préciser qu’il ne s’agit pas d’une faille dans le système de messagerie (MMS ou Hangouts pour ce cas particulier). La faiblesse réside dans le système d’exploitation en lui-même et faire un SMS est simplement la façon la plus facile qu’un pirate puisse utiliser pour attaquer sa victime sans qu’elle n’ait de moyen de se défendre.

Les versions Android qui sont vulnérables à Stagefright sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android, ce qui représente 950 millions d’appareils. Zimperium a alors contacté Google pour lui en parler mais a également proposé des correctifs en échange desquels Google a proposé une compensation financière.


« Google a agi promptement et appliqué les correctifs à ses branches de code interne dans les 48 heures, mais, malheureusement, ce n’est que le début de ce qui sera un très long processus de déploiement de mise à jour ».

Source : blog Zimperium, twitter Joshua J. Drake

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 28/07/2015 à 12:31
1000 dollars pour une faille de cette ampleur ??? c'est pas un peu abusé ?N=
2  0 
Avatar de dfiad77pro
Membre expérimenté https://www.developpez.com
Le 28/07/2015 à 13:19
Citation Envoyé par Ymer Leahcim Voir le message
puisque ça touche les terminaux dès android 2.2, est-ce que cela peut supposer que des mises à jour sur des très vieux terminaux peuvent encore être faites par les constructeurs qui ont arrêté les évolutions android ?

ou bien les constructeurs déclarent abandonner totalement leur téléphones vendus...
C'est le soucis principal des maj Android, qui sont déployées au bon vouloir des constructeurs.

C'est aussi le cas des maj pour Windows Phone ( on le voit moins comme Microsoft possède la majorité des Smartphones ).
Microsoft va proposer un truc plus souple avec le 10, je pense que Google le fera aussi vu les risques encourus...

Une attaque de masse peut sérieusement entacher la réputation d'une entreprise ( on se souvient de Windows XP et blaster)...
1  0 
Avatar de Ymer Leahcim
Membre habitué https://www.developpez.com
Le 28/07/2015 à 12:58
puisque ça touche les terminaux dès android 2.2, est-ce que cela peut supposer que des mises à jour sur des très vieux terminaux peuvent encore être faites par les constructeurs qui ont arrêté les évolutions android ?

ou bien les constructeurs déclarent abandonner totalement leur téléphones vendus...
0  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 28/07/2015 à 13:52
Citation Envoyé par dfiad77pro Voir le message
Microsoft va proposer un truc plus souple avec le 10,
Proposer, non, plus souple, pas sur non plus.
A partir de Windows Phone 10 Microsoft va imposer les mises à jour de son os dès leurs sorties, en direct, et les constructeurs n'auront à priori pas la possibilité de les bloquer.

Citation Envoyé par dfiad77pro Voir le message
je pense que Google le fera aussi vu les risques encourus...
La difficulté vient semble-t-il des contrats d'exploitations d'Android que les constructeurs et Google concluent. Apparemment Google ne pourrait pas faire comme Microsoft, imposer les mises à jours de l'os à l'encontre des constructeurs sans modifier ces contrats.
Donc il n'est pas du tout sur de voir une telle fonctionnalité chez Android
0  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 28/07/2015 à 14:52
Citation Envoyé par sevyc64 Voir le message

La difficulté vient semble-t-il des contrats d'exploitations d'Android que les constructeurs et Google concluent. Apparemment Google ne pourrait pas faire comme Microsoft, imposer les mises à jours de l'os à l'encontre des constructeurs sans modifier ces contrats.
Donc il n'est pas du tout sur de voir une telle fonctionnalité chez Android
De plus, en signant le contrat d'utilisation d'android, les constructeurs dégagent entierrement de toute responsabilité Google par rapport aux logiciels qu'il fournit.(C'est en autre pour ça que apple pour samsung et pas google pour les aspects "copiés" de leurs iPhone.) du coup c'est ""normal"" que google n'ai plus d'impact sur les constructeurs après coup.
0  0 
Avatar de Ymer Leahcim
Membre habitué https://www.developpez.com
Le 28/07/2015 à 16:51
Citation Envoyé par Ymer Leahcim Voir le message
puisque ça touche les terminaux dès android 2.2, est-ce que cela peut supposer que des mises à jour sur des très vieux terminaux peuvent encore être faites par les constructeurs qui ont arrêté les évolutions android ?

ou bien les constructeurs déclarent abandonner totalement leur téléphones vendus...
si des constructeurs de voitures vendent leur voiture-android avec une garantie de 5ans et qu'après ils arrêtent les mises-à-jour android alors que la voiture est piratable, ça craindrait...
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 28/07/2015 à 17:10
ca a toujours été de la vente forcée. un gros bug apparait et on vient vous dire que yaura pas de mise à jour la seule solution c'est d'acheter un autre telephone...

d'ou le besoin de rooter la becane et de prendre la main sur son os.

je n'ai pas ce probleme avec android, vu que je suis sur BB, c'est l'emulateur qui ce charge d'executer dans une sandbox l'apk. du coup ya des chances que le probleme avec le sms ne soit pas present et au pire BB a la main sur les mise à jour puisque constructeur

question : peux t'on mettre a jour soit même son os android ? il existe cyanogène mod il me semble .
mais il ya peut etre un risque que les périphérique de son téléphone ne soit pas accessible ? ( si driver proprio)
0  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 28/07/2015 à 17:56
Citation Envoyé par cuicui78 Voir le message
ca a toujours été de la vente forcée. un gros bug apparait et on vient vous dire que yaura pas de mise à jour la seule solution c'est d'acheter un autre telephone...

d'ou le besoin de rooter la becane et de prendre la main sur son os.

je n'ai pas ce probleme avec android, vu que je suis sur BB, c'est l'emulateur qui ce charge d'executer dans une sandbox l'apk. du coup ya des chances que le probleme avec le sms ne soit pas present et au pire BB a la main sur les mise à jour puisque constructeur

question : peux t'on mettre a jour soit même son os android ? il existe cyanogène mod il me semble .
mais il ya peut etre un risque que les périphérique de son téléphone ne soit pas accessible ? ( si driver proprio)
Cyanogen Mod n'est compatible officiellement qu'avec un petit ensemble de téléphone, et avec suffisamment d'effort avec un bel ensemble de téléphone.

J'ai un lecteur MP3 Samsung Galaxy Wifi, je suis bloqué en 2.3.6 via Samsung et Cyanogen ne peu rien pour moi car c'est un processeur mediatek.

Sur mes téléphones je suis sous WP. Une chose est sûre, si un jour je repasse à android, je vérifierais avant achat la compatibilité Cyanogen mod (déjà des générations précédentes du même téléphone, et dans l'idéal j'attendrais suffisamenet longtemps pour la cyanogen sorte sur le téléphone que je convoite)

Après, comme j'ai été bloqué relativement rapidement dans mes recherche à cause de cette incompatibilité fatale je ne suis pas un pro. Peut être que tout à changé maintenant, mais ça m'étonnerais.
0  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 28/07/2015 à 18:05
Citation Envoyé par Ymer Leahcim Voir le message
si des constructeurs de voitures vendent leur voiture-android avec une garantie de 5ans et qu'après ils arrêtent les mises-à-jour android alors que la voiture est piratable, ça craindrait...
déjà qu'elles sont piratables sans Android
Et les tv connectées, les frigo, ....
0  0 
Avatar de Teekeasy
Membre à l'essai https://www.developpez.com
Le 29/07/2015 à 11:33
AoCannaille
du coup c'est ""normal"" que google n'ai plus d'impact sur les constructeurs après coup.


Et au final la responsabilité sur ce genre de faille ne va revenir à personne

Teekeasy
0  0