En envoyant un simple message multimédia de type MMS spécialement conçu, il est possible de pirater la majorité des mobiles Android. C’est ce qu’affirme Joshua Drake, vice-président de la recherche et de l'exploitation de l’entreprise de sécurité mobile Zimperium. Le chercheur a développé un exploit qui ne nécessite rien d’autre que de connaître le numéro de téléphone de la victime. Celui-ci a trouvé de multiples vulnérabilités dans le composant Stagefright utilisé pour traiter, exécuter et enregistrer des fichiers multimédias. Certains défauts permettent l'exécution de code à distance et peuvent être activés par un message MMS, le téléchargement d'un fichier vidéo spécialement conçu via le navigateur ou l'ouverture d'une page web comportant un contenu multimédia approprié.
« Il y a de nombreux vecteurs d'attaque potentiels, car chaque fois que le système d'exploitation Android reçoit un contenu multimédia, il l’exécute à travers ce framework, quelle que soit la source », a expliqué le chercheur. La bibliothèque ne sert pas seulement pour la lecture des médias, mais aussi pour générer automatiquement des vignettes ou extraire les métadonnées des fichiers vidéo et audio comme leur durée, leur dimension, leur débit d’images, les canaux et autres informations de ce genre. Cela signifie que les utilisateurs ne doivent pas nécessairement exécuter des fichiers multimédias malveillants pour être vulnérables aux failles trouvées par Joshua Drake. Le simple fait de copier ce type de fichiers dans le système suffit. Le chercheur ne sait pas exactement combien d’applications utilisent Stagefright, mais il pense que toute app gérant des fichiers multimédias sous Android utilise d'une manière ou d'une autre le composant.
Un simple MMS peut compromettre un mobile
Le vecteur d’attaque MMS est sans doute le plus effrayant de tous, car il ne nécessite aucune interaction de l'utilisateur : il suffit que le téléphone reçoive un message malveillant. « Par exemple, l'attaquant pourrait envoyer des MMS malveillants quand la victime dort et que la sonnerie de son téléphone est coupée », a déclaré le chercheur. « Après le piratage, il peut même détruire le message, si bien que la victime ne saura jamais que son téléphone a été piraté », a-t-il déclaré. Le chercheur ne s’est pas contenté de repérer les vulnérabilités, il a aussi créé les correctifs nécessaires qu’il a transmis à Google en avril et début mai.
« Google a pris la question très au sérieux et a appliqué les correctifs à son code base Android dans les 48 heures », a-t-il ajouté. Le code avait été aussi préalablement partagé avec les fabricants de téléphones partenaires du programme Android, avant qu'il ne soit rendu public dans le cadre du projet Android Open Source Project (AOSP). « Malheureusement, du fait du rythme lent des mises à jour Android, plus de 95 % des mobiles tournant sous ce système d’exploitation sont encore affectés », estime le chercheur. « Et dans la gamme de mobiles Nexus de Google, qui reçoit généralement les correctifs plus rapidement que les autres, seul le Nexus 6 a été partiellement mis à jour », déplore le chercheur.
Des mises à jour toujours laborieuses
Il faut souvent plusieurs mois avant que les correctifs Android ne parviennent aux terminaux de l'utilisateur final à travers les mises à jour livrées par réseau hertzien. En effet, les fabricants doivent d'abord mettre le code de Google dans leurs propres référentiels, développer de nouvelles versions de firmware pour chaque mobile de leur gamme, les tester et organiser le déploiement des mises à jour avec les opérateurs mobiles. En général, les dispositifs de plus de 18 mois ne reçoivent plus toutes les mises à jour, ce qui les expose à toutes nouvelles vulnérabilités. Les failles trouvées par Joshua Drake affectent les terminaux tournant sous Android 2.2 et versions supérieures, ce qui signifie qu’un grand nombre de dispositifs ne recevront probablement jamais les correctifs nécessaires. Le chercheur estime que seuls 20 à 50 % des appareils Android actuellement en circulation recevront les patchs corrigeant les vulnérabilités qu'il a trouvées. « Et encore, 50 %, c’est un vœu pieux et je serais surpris que ce soit le cas ».
Dans un communiqué envoyé par courriel, Google a remercié Joshua Drake pour sa contribution et a confirmé que les correctifs ont été livrés aux partenaires. « La plupart des terminaux Android, y compris les modèles les plus récents, bénéficient de multiples technologies qui rendent l'exploitation des failles plus difficile », a déclaré le géant de la recherche. « Les appareils Android sont également dotés d’une sandbox qui protège les données des utilisateurs et des applications installées ». Ce que les attaquants peuvent faire en exploitant les vulnérabilités découvertes par le chercheur peut varier d'un appareil à l’autre. Leur code malveillant peut être exécuté avec les privilèges du framework Stagefright, plus élevés sur certains appareils. Mais de façon générale, les attaquants pourraient avoir accès au microphone, à l’appareil photo et à la partition de stockage externe, mais ils ne pourront pas installer des applications ou accéder à leurs données internes.
Près de 50% des terminaux sans correctif
Cela dit, Joshua Drake estime que sur environ 50 % des appareils concernés, le framework fonctionne avec des privilèges système, ce qui facilite l’obtention d’un accès root et donc un contrôle complet de l'appareil. Sur les 50 % restant, les attaquants doivent s’appuyer sur une autre vulnérabilité d’escalade de privilèges pour avoir un accès complet au terminal. Dans la mesure où les correctifs pour ces failles ne figurent pas encore dans l’Android Open Source Project, les fabricants d'appareils qui ne sont pas partenaires de Google n’y ont pas accès. Cela signifie également qu’un firmware tiers basé sur le code Open Source comme CyanogenMod est encore probablement vulnérable. Joshua Drake a partagé ses correctifs en privé avec d'autres parties concernées, comme Silent Circle et Mozilla. Celui-ci devrait donner plus de détails sur les vulnérabilités et son code d’exploitation proof-of-concept le 5 août lors de la prochaine conférence Black Hat qui se tiendra à Las Vegas, Nevada, du 1er au 6 août.