La faille Stagefright, qui menaçait 950 millions d’appareils Android au mois de juillet fait son retour.
Détectée au mois de juillet par Joshua Drake, un expert de l’entreprise californienne Zimperium, la faille de sécurité Stagefright fait son retour. Pour rappel la brèche empreinte son nom à une bibliothèque logicielle utilisée sur Android pour lire plusieurs formats de fichiers vidéo. En envoyant un simple MMS à une victime, les hackers pouvaient avoir un contrôle complet de l’appareil grâce à l’installation d’un malware. Une fois son installation terminée, ils pouvaient tranquillement voler des données sensibles, comme les numéros de cartes de crédit ou des renseignements personnels.
Il y a trois mois, la firme Zimperium déclarait que Stagefright menaçait 950 millions d’appareils Android, soit près de 95% des appareils Android dans le monde. Surnommée la «mère de toutes les vulnérabilités Android» par Zimperium, sa version 2.0 peut potentiellement concerner 1,3 milliard d’utilisateurs que compte le système mobile de Google.
Cette fois-ci, deux nouvelles failles ont été découvertes dans les bibliothèques libutils et libstragefright. Si les versions antérieures à la 2.2 du système étaient jusqu’à présent épargnées, ce n’est maintenant plus le cas puisque Stagefright 2.0 concerne l’intégralité des appareils depuis Android 1.0. Précisons que les risques causés sont identiques à la première version. Néanmoins, la menace se propage différemment, via une simple page Web et les métadonnées.
Google a été prévenu de cette menace le 15 août dernier. Un correctif a été trouvé et diffusé aux partenaires constructeurs de Google le 10 septembre dernier. Maintenant, c’est à eux de le transmettre aux utilisateurs. Pour ses Nexus, Mountain View proposera un correctif dès la prochaine mise à jour mensuelle prévue pour le 5 octobre.
