Nouvelle faille de sécurité critique sur Android
Une nouvelle faille de sécurité très simple à mettre en place a été découverte sur Android. Elle toucherait potentiellement la moitié du parc d’appareils Android mondial.
À peine une semaine après la découverte de la faille Stagefright qui permet de prendre le contrôle d’un appareil Android à l’aide d’un simple MMS, le système d’exploitation mobile de Google est une nouvelle fois pointé du doigt.
Cette fois, les chercheurs en sécurité informatique ont dévoilé dans Trend Micro une nouvelle vulnérabilité qui peut rendre totalement inopérants les appareils qui tournent sous les versions 4.3 (Jelly Bean) à 5.1.1 (Lollipop) du petit robot vert, soit plus de la moitié du parc mondial des machines Android.
Une attaque via un simple fichier vidéo endommagé
C’est l’expert en sécurité Wish Wu qui a découvert le problème. Sans vouloir entrer trop dans les détails techniques, cette dernière exploite une faille dans l’outil d’indexation du service de serveur médias d’Android qui liste tous les fichiers multimédias présents sur la tablette ou le smartphone.
Cet outil serait sérieusement compromis par un simple fichier mal codé au format vidéo MKV, un standard très commun dans le monde de l’informatique. En lui proposant un tel fichier, l’outil d’indexation planterait totalement pouvant entraîner avec lui le blocage complet du téléphone.
Un smartphone bon à jeter à la poubelle
Pour exploiter la faille, Trend Micro indique qu’il existe deux manières très simples « soit en installant une application malveillante sur l’appareil, soit via une page Web spécialement conçue pour diffuser ce type de vidéos ». Dans le pire des cas, l’application malveillante peut bloquer le smartphone après chaque redémarrage, le rendant alors totalement incapable de fonctionner.
Google a été averti du problème le 15 mai dernier, mais l’a classé dans la pile des dossiers « non prioritaires ». Trend Micro de son côté propose une solution de sécurité en attendant qu’un correctif soit mis à disposition dans l’Android Open Source Project.