Totalement inopérant, bon pour servir de presse papier. Voilà ce que pourrait devenir votre smartphone sous Android si une faille de l’OS de Google était utilisée contre lui. Le géant américain n’a pour l’instant pas patché la vulnérabilité.
Un écran noir, désespérément noir. Un smartphone qui ne fonctionne plus, ne sonne plus, n’est plus capable de passer un appel. Un appareil plongé dans un état végétatif numérique.
C’est ce que d’écrit Wish Wu, un chercheur en sécurité pour Trend Micro qui a découvert une vulnérabilité dans Android, qui touche les versions 4.3 (Jelly Bean) à 5.1.1 (Lollipop).
Ce qui représente un peu plus de la moitié du parc installé des machines qui utilisent le système d’exploitation de Google.
DoS local
La faille en question réside dans l’outil d’indexation du service de serveur media d’Android, qui liste tous les fichiers multimédias présents sur la tablette ou le smartphone. Il semblerait que cet outil ne soit pas capable de gérer un fichier vidéo MKV « mal formé » ce qui provoquerait une sorte d’attaque en déni de service local, un buffer overflow.
Dès lors, l’outil planterait entraînant avec lui tout le système d’exploitation. Android serait en effet alors incapable de produire le moindre son, en cas d’appel, de réception de SMS ou d’une notification. D’ailleurs, même s’il était averti l’utilisateur ne pourrait pas accepter l’appel, explique Wish Wu.
Par ailleurs, l’interface deviendrait extrêmement lente ou totalement bloquée. Ce scénario catastrophe peut être encore plus désespéré. Car si la faille est exploitée alors que le téléphone est verrouillé, il ne pourra plus être déverrouillé.
La preuve en vidéo
Le chercheur de la société japonaise précise qu’il y a deux méthodes pour utiliser cette vulnérabilité. La première est de faire en sorte que son utilisateur se rende sur un site Web compromis. Dans ce cas, redémarrer le smartphone pourrait suffire.
La seconde implique l’utilisation d’une application malicieuse. Cette dernière solution est la plus dangereuse. Car elle peut bloquer à nouveau le smartphone après un redémarrage. Le rendant « définitivement » incapable de fonctionner correctement.
Wish Wu a d’ailleurs réalisé une petite vidéo montrant l’exploitation de la faille depuis une application…
Averti le 15 mai dernier, Google a indiqué cinq jours plus tard avoir pris connaissance de la faille et l’a classée comme étant une faille non prioritaire. Evidemment, Trend Micro propose une solution de sécurité pour protéger vos appareils Android de cette faille, en attendant qu’un correctif soit appliqué à l’Android Open Source Project.
Cette annonce intervient quelques jours seulement après celle décrivant une faille critique dans Android qui toucherait potentiellement 950 millions d’appareils.
Avant de sombrer dans un paranoïa estivale propre à gâcher vos vacances, il faut toutefois garder en tête que les quelques jours avant la Black Hat, qui se tiendra à Las Vegas du 1er au 6 août prochain, sont souvent l’occasion pour les chercheurs en sécurité de faire parler d’eux, soit parce qu’ils interviendront dans le cadre de la convention, soit parce que l’attention générale est déjà tournée vers ce monde obscur et complexe qui nous concerne pourtant tous.
