Suite à cette publication, Google avait déployé une vague de correctifs de sécurité. L’affaire devait donc déjà être classée. Pourtant, la société NorthBit a mis au point une attaque qui exploite la même bibliothèque média que Stagefright.
Baptisé Metaphor, le principe de cette manipulation consiste à créer un buffer overflow (débordement de la mémoire tampon) afin d’accéder à d’autres zones de l’appareil. Sa principale force consiste à contourner l’ASLR (Adress Space Layout Randomization) intégré depuis Android 4.1 et qui permet de rendre ces débordements inexploitables en empêchant les pirates de prédire le nouvel adressage grâce à un système aléatoire. Aussi, l’entreprise a annoncé pouvoir lancer une attaque sur les terminaux tournant à partir d’Android 2.2 jusqu’à la version 5.1.
Si Joshua Drake, vice-président de Zimperium, s’était appuyé sur la faille CVE-2015-1538, les chercheurs de NorthBit ont opté pour la faille CVE-2015-3864. Ainsi, avec Metaphor, ils sont parvenus à obtenir un accès complet aux fichiers de l’appareil de façon à pouvoir les copier et/ou supprimer, ainsi qu’au microphone et à la caméra. « Ils ont prouvé qu’il est possible d’utiliser une fuite d’informations pour contourner l’ASLR », a noté Joshua Drake. « Alors que tous mes exploits reposaient sur la force brute pour exploiter la faille, les leurs ne se servent pas d’une supposition en aveugle. En réalité ils tirent les informations du serveur média qui vont leur permettre de concevoir un exploit pour quiconque utilise l’appareil ».
Il faut noter que Metaphor fonctionne sur une base plus large de téléphones. Les correctifs précédents publiés par Google apportaient une immunité à des utilisateurs de la version 5.1 (ou supérieure) et, dans certains cas, apportaient également une immunité à ceux qui utilisaient la version 4.4 au minimum, a noté Drake. Avec Metaphor en revanche, les utilisateurs de la version 5.1 sont exposés, ce qui représente environ 19 pour cent du parc Android.
Dans leur analyse technique de cette vulnérabilité, les chercheurs ont expliqué que le code d’attaque doit être pensé pour fonctionner sur un modèle Android spécifique, ce qui rendrait improbable de faire un exploit universel. Toutefois, Drake a soutenu qu’il est possible pour un site web de modifier la charge délivrée à un dispositif après avoir vérifié son profil matériel et logiciel. Avec du travail additionnel, un site pourrait être conçu pour attaquer un large pourcentage de téléphones vulnérables.
Un porte-parole de Google a déclaré : « les dispositifs Android avec un correctif de sécurité datant du 1er octobre 2015 ou plus sont protégés grâce au patch que nous avons publié pour corriger ce problème (CVE-2015-3864) l’année dernière. Comme toujours, nous apprécions les efforts des chercheurs de la communauté puisqu’ils tendent à rendre l’écosystème Android plus sûr pour tous ».
Source : analyse technique de la vulnérabilité (au format PDF)