Android : des appareils menacés par Metaphor, la variante de Stagefright

Après la découverte l'année dernière de Stagefright, une faille qui menaçait la sécurité de la majorité des appareils Android, on apprend que l'existence d'une nouvelle brèche pourrait de nouveau les mettre en danger. Et ce en l'espace de quinze secondes.

À l’été dernier, une faille se révélait au niveau de la librairie Stagefright de 95% des appareils Android de la planète. Lesquels étaient donc sous la menace d’un piratage, et Google d’être finalement parvenu, non sans mal, à colmater cette brèche.

Pour rentrer dans le détail, cette librairie est sollicitée dans la lecture de contenus multimédia tels les fichiers audio et vidéo. Sa sécurité laissait toutefois à désirer, car il suffisait en effet d’envoyer un fichier vérolé par MMS, navigateur ou WhatsApp à un utilisateur d’Android pour récupérer les accès root de son appareil, qu’il s’agisse d’un téléphone ou d’une tablette.

Stagefright, la faille qui touchait 95% des utilisateurs d’Android

Comme nous le rapporte Fredzone, Google a dû s’y prendre en plusieurs temps pour trouver une parade plus ou moins convaincante. La protection offerte par Ice Cream Sandwich était ainsi censée, via sa fonction ASLR (Distribution aléatoire de l’espace d’adressage) limitant les dépassements de tampon, prévenir tout piratage des ressources système. Des patchs seront déployés pendant l’été 2015 de manière à venir à bout de Stagefright, même si ces mises à jour n’auront pas été accessibles pour tous les utilisateurs d’Android.

https://www.youtube.com/watch?v=I507kD0zG6k

Metaphor ou le piratage en 15 secondes

Et l’on a appris il y a quelques heures qu’une nouvelle faille découlant de Stagefright, « Metaphor », vient d’apparaître. Elle doit son nom à la société israélienne l’ayant découverte. L’exécution de Metaphor permet à un malware d’être intégré à un périphérique capable alors d’accéder aux données présentes, de les copier et même de les effacer. Il permet également aux pirates de prendre le contrôle du microphone et de la caméra et de suivre l’utilisateur par GPS.

Voici comment Metaphor opère : la future victime reçoit un message contenant un lien menant lui-même vers une vidéo. Cliquer sur ce lien amène le serveur multimédia du téléphone à crasher puis à redémarrer. Un script de la page se charge ensuite de récupérer toutes les données du téléphone et de les envoyer sur le serveur hôte de la vidéo. Il ne reste alors plus à ce dernier qu’à envoyer un autre fichier vidéo injecté par le malware pour prendre le contrôle de l’appareil. Le tout en 15 secondes maximum.