Google va devoir livrer un second patch pour corriger la faille Stagefright, qui menace 950 millions d’appareils.
Détectée le mois dernier par Joshua Drake, un expert de l’entreprise californienne Zimperium, la faille de sécurité Stagefright donne du fil à retordre à Google. Car si la firme a bien publié un correctif (CVE-2015-3824), celui-ci est incomplet.
Un autre chercheur en sécurité, Aaron Portnoy, travaillant pour l’Exodus Intelligence, a découvert que le premier patch était incomplet et que par conséquent, la faille reste aujourd’hui exploitable. » De nombreux soucis supplémentaires ont été découverts depuis que j’ai signalé les bugs dans le traitement du MPEG4. Je pense que nous continuerons à voir des correctifs pour le code de Stagefright dans les mois qui viennent. L’histoire est loin d’être terminée « ,a-t-il déclaré.
Si Google ainsi que les constructeurs de smartphones ont décidé de mettre en place des mises à jour de sécurité tous les mois, tous les appareils ne seront pas concernés. En effet, seuls les appareils les plus récents ainsi que les dernières versions d’Android seront corrigés.
Pour rappel, Stagefright est une faille présente dans le framework de la bibliothèque multimédia intégrée à Android depuis sa version 2.2. A l’aide d’un simple MMS envoyé à la victime, les hackers peuvent avoir un contrôle complet de l’appareil pour y voler des données sensibles, comme les numéros de cartes de crédit ou des renseignements personnels.
