Forum

Bonjour à tous,



Un très sérieux problème de sécurité affecte actuellement la plupart des appareils sous Android. Une faille permet en effet de déclencher l’exécution d’un code arbitraire via un simple MMS.

Google a réagi rapidement, mais...

beaucoup risquent de passer à côté.

En effet, même si le bogue est corrigé dans Android, les constructeurs et opérateurs vont tarder à intégrer le correctif dans les téléphones en circulation.



La faille est en fait décrite comme « pire que Heartbleed », puisque toutes les versions d’Android sont concernées à partir de la 2.2.



La vulnérabilité réside dans Stagefright, une bibliothèque Android en charge de la lecture de certains formats multimédia. Elle a été trouvée par une équipe de chercheurs de Zimperium, qui indique qu’en raison des impératifs de performances au niveau du multimédia justement, le code est rédigé en C++, « plus souvent sujet aux corruptions de mémoire que les langages memory-safe tels que Java ».



Pour les chercheurs, qui ont trouvé la brèche en analysant le code d’Android via l’AOSP (Android Open Source Project), le problème serait le plus sérieux jamais découvert puisqu’il toucherait pas moins de 95 % des utilisateurs de la plateforme mobile. En se basant sur un chiffre d’un milliard d’appareils en circulation, estime donc que 950 millions d’entre eux sont vulnérables, les anciennes versions d’Android étant encore plus exposées.



Le problème de la bibliothèque Stagefright est qu’elle est appelée chaque fois qu’un contenu pris en charge est repéré. Il suffit par exemple qu’un simple MMS arrive sur un téléphone pour qu’elle commence à traiter la photo ou la vidéo qui y est contenue. L’utilisateur n’a pas besoin de réveiller son téléphone et d’aller lire le MMS en question, puisque le travail est effectué en amont.

Que faire ?

[lire la suite de l'article...]



:

Intéressant. Merci

Bonjour

Me voilà bien embêté. Mon HTC one X en 4.22 n'est plus maintenu. Je doute qu'on me fournira une mise à jour corrective. J'ai bien essayé Cyanogenmod, mais je perdais en autonomie stabilité. En plus, désactiver le mms, c'est certes une alternative, mais ça reste une fonctionnalité bien pratique. L'obsolescence programmé, on y est. On devrait obliger les constructeur à donner les sources des drivers et les spécifications matérielles lorsqu'ils ne veulent plus maintenir leur produit.

Tu ne désactives pas les MMS, tu désactives juste le fait qu'ils sont récupérés automatiquement et ouverts en tache de fond, sans que tu ne bouges un doigt. Tu peux toujours ouvrir les MMS de tes amis, tu devras juste donner l'autorisation de les récupérer avant j'imagine. Donc si tu reçois un MMS d'un numéro coréen bizarre... tu peux le virer.

À voir si la méthode d'Adrien est suffisante néanmoins, l'EFF a l'air un peu plus drastique : https://www.eff.org/deeplinks/2015/07/horror-horror-stagefright-androids-heart-darkness