Google déploie un second correctif pour Stagefright suite à un premier défectueux

D’après l’expert en sécurité Rapid7, Google devrait revoir la façon dont il colmate les failles Android à la lumière des tentatives initiales ratées pour colmater la vulnérabilité Stagefright. Une critique qui est venue suite à la déclaration de Google lui-même qui a confirmé que les utilisateurs de ses Nexus, qui étaient les premiers à bénéficier d’un correctif de sécurité, ne seraient pas totalement protégés avant septembre.

Pour rappel, la vulnérabilité Stagefright, qui doit son nom à la librairie média dans laquelle les failles ont été trouvées (sept au total selon les CVE), est exploitable à partir du moment où des pirates ont votre numéro « grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS ». Les versions d’Android vulnérables sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android (ou encore 950 millions d’appareils).

La première semaine de ce mois, Google a amorcé le déploiement de six patchs pour colmater la faille. Pourtant, sur les six patchs proposés, les chercheurs en sécurité d’Exodus Intelligence ont remarqué une erreur dans le code proposé par Google. L’un d’eux, Jordan Gruskovnjak, a prévenu Google le 07 août dernier et a même modifié un fichier vidéo pour montrer que, malgré le correctif, la faille était toujours exploitable. La semaine dernière, Exodus a décidé de publier le code montrant comment cela était possible parce que « malgré notre notification (et leur confirmation), Google continue de déployer le correctif défectueux pour les dispositifs Android via des mises à jour OTA ».

Dans un billet, ils ont expliqué que « ce bug a focalisé une quantité excessive d’attention – nous pensons que nous ne sommes probablement pas les seuls à avoir remarqué cette imperfection. D’autres peuvent avoir des intentions malveillantes ». Puis de dire « Google emploie énormément en matière de sécurité, ils ont tellement de personnel qu’il y en a qui consacrent leur temps à examiner les logiciels d’autres éditeurs et les obligent à respecter une limite de délai dans la fourniture de correctif. Si Google ne peut pas démontrer sa capacité de remédier avec succès une vulnérabilité révélée qui affecte ses propres clients, alors quel espoir nous reste-t-il ? ».

Le problème était situé dans le patch qui devait corriger le problème répertorié sous CVE – 2015 – 3824 (soit Google Stagefright ‘tx3g’ MP4 Atom Integer Overflow).

Le lendemain, Google a publié a rendu disponible en open source un second correctif pour corriger ce problème. Bien que l’entreprise n’ait pas souhaité s’étendre, elle a cherché à minimiser les risques utilisateurs. « Actuellement, plus de 90 pour cent des appareils Android ont une technologie appelée ASLR (Address Space Layout Randomization) activée qui protège les utilisateurs contre ce problème. Nous avons déjà envoyé le correctif à nos partenaires pour protéger les utilisateurs, et les Nexus 4/5/6/7/9/10 ainsi que le Nexus Player recevront la mise à jour OTA dans la mise à jour de sécurité mensuelle Septembre » a déclaré Google.

Pour Tod Beardsley, directeur de l'ingénierie de la sécurité chez Rapid7 - la société derrière l'outil de test de pénétration Metasploit -, « le problème auquel Google est confronté n’est pas tellement de voir des failles de sécurité dans des produits logiciels populaires : tout le monde a des failles, ça arrive. Le véritable problème que nous observons aujourd'hui c’est une rupture dans le pipeline de patch Android ».

« Dans ce cas, deux éléments essentiels du processus de traitement des vulnérabilités de Google sont défaillants. Tout d'abord, il est extrêmement difficile pour Google, ou quelqu'un d'autre, de lancer des mises à jour logiciel chez les utilisateurs. Même les appareils Nexus, dont Google a le contrôle le plus direct, devront attendre un communiqué Septembre suite à cette mise à jour du patch Stagefright insuffisante. Ce temps de latence entre avoir un correctif sous la main et le distribuer à sa base d'utilisateurs est tout simplement trop lent pour être raisonnablement sûr. Si des acteurs malveillants choisissent d'exploiter cet ensemble de vulnérabilités dans le même temps, il semble que les utilisateurs lambda ne puissent rien faire pour se défendre », a averti Beardsley.

Si les chercheurs en sécurité de Google faisant partie de l’équipe Project Zero examinent régulièrement les codes source d’autres éditeurs puis les poussent à développer des correctifs aux failles rencontrées, il ne fait pas très bon de se retrouver de l’autre côté du miroir.

« L'autre rupture dans le processus de rétroaction Stagefright était la gestion de Google suite à l'alerte d’Exodus sur le correctif défectueux à laquelle ils n’ont pas répondu en temps opportun. Beaucoup d'entreprises ont du mal suite à un premier contact avec des chercheurs qui font des rapports vulnérabilités, mais ce n’est pas le premier rodéo de Google. Après tout, le Project Zero de Google signale les vulnérabilités à d'autres grands fournisseurs régulièrement avec certaines attentes en matière de communication. Ils doivent être en mesure de pratiquer ce qu'ils prêchent un peu mieux dans ce domaine si les utilisateurs d'Android doivent faire confiance à l’intendance de Google sur son code » a-t-il conclu.

Source : Blog Exodus, bulletins de sécurité Nexus (août 2015)