Une nouvelle faille a été mise à jour dans le mediaserver d’Android. Elle peut rendre vulnérables les smartphones et objets connectés fonctionnant sous ce système d’exploitation.
Une autre faille de sécurité dans le mediaserver d’Android
Après la découverte de Stagefright, une vulnérabilité dans le composant du mediaserver d’Android a été dévoilée au public par une société experte dans le développement des logiciels de sécurité. Cette faille affecte la manière dont Android gère ses fichiers multimédia. Elle se loge dans une fonction du mediaserver appelée communément AudioEffect et permet à une application malveillante d’effectuer des actions à l’insu du propriétaire du terminal mobile.
Le fonctionnement de la faille
Cet élément de programme pirate découvert par un éditeur de solutions de sécurité facilite le piratage à distance des terminaux fonctionnant sous Android. L’exploit se base sur une erreur de programmation dans le composant du mediaserver. A défaut d’avoir vérifié la taille des mémoires tampons des logiciels tels que les players multimédia, il permet à une application malveillante élaborée à cet effet d’accéder aux fonctions normalement réservées au mediaserver, notamment les enregistrements vidéo, les prises de photo et la lecture des fichiers MP4 … Toutefois, cette application malicieuse doit être installée sur l’appareil pour pouvoir fonctionner et prendre le contrôle total du terminal infecté.
Un patch est disponible
D’après les chercheurs de Trend Micro, la faille étiquetée sous le nom de CVE-2015-3842 concerne les versions d’Android du 2.3 à la 5.1.1. Elle a été signalée à la firme de Mountain View en juin 2015. Le géant du web a de suite développé un correctif et Android Open Source Projet l’a publié le 1er août de cette année. De ce fait, il est actuellement disponible et doit être intégré pas les constructeurs de terminaux mobiles afin de mettre à jour la totalité des appareils fonctionnant sous Android.
Des correctifs à perfectionner
Aussi, les mécanismes de mises à jour d’Android restent à perfectionner en dépit de la réaction immédiate des constructeurs face à la mise à jour de la fameuse faille Stagefright. Cette autre vulnérabilité permettant l’exécution de code à distance via l’envoi d’un MMS piégé a été dévoilée fin juillet et son fonctionnement a été détaillé durant la conférence Blackhat du 05 août dernier. Depuis, des constructeurs de smartphones et tablettes tactiles ont poussé leur correctif vers leur base installée, et ce, malgré que ce dernier s’est trouvé totalement inefficace. Google a donc été obligé de produire un deuxième patch, désormais déjà distribué à ses nombreux partenaires.
Ainsi, l’écosystème Android doit s’attendre à la découverte d’autres failles de sécurité sur les processus de gestion des fichiers multimédia. En effet, selon Joshua Drake, le chercheur ayant découvert le Stage fright et Trend Micro, ces processus de gestion de fichiers multimédia de l’OS mobiles peuvent encore renfermer d’autres vulnérabilités inconnues. A ce jour, la faille découverte par Trend Micro est la quatrième découverte en quelques semaines sur le composant mediaserver d’Android. Espérons qu’elle restera également la dernière.