Des fichiers vidéo MKV, conçus de manière malicieuse, peuvent être utilisés pour bloquer tous les mobiles Android, soit près de 500 millions de terminaux, smartphones et tablettes. Un fichier encapsulé, une application ou une page web malveillante pourraient en effet être utilisés pour bloquer presque tous les appareils Android en raison d'une vulnérabilité dans un composant de traitement multimédia, mediaserver.
L'annonce, faite par des chercheurs en sécurité de Trend Micro, intervient quelques jours après que d'autres failles aient été révélées dans Android. Ces vulnérabilités pourraient permettre à un attaquant de compromettre les appareils avec un simple message MMS. Cette faille affecte tous les mobiles fonctionnant sous Android 4.3 (Jelly Bean) et supérieur, y compris la dernière mise à jour 5.1.1 (Lollipop). Soit plus de 50% des smartphones Android, selon les données publiés en juin par Google. Aucun correctif n'a encore été publié par l’Android Open Source Project (AOSP).
Une faille mise à jour par TrendMicro
Une étape a été franchie avec cette dernière vulnérabilité située dans le composant mediaserver, et plus précisément dans la façon dont ce service gère les fichiers qui utilisent le conteneur vidéo Matroska (MKV). Les chercheurs de Trend Micro ont détaillé cette vulnérabilité dans un billet de blog mercredi. Lorsque la vulnérabilité est exploitée, le smartphone devient silencieux et ne répond pas. Aucune sonnerie ou notification ne peuvent plus être entendues et les appels ne peuvent pas être lancés ou acceptées. En outre, l'interface utilisateur peut devenir lente ou complètement inutilisable et, si le mobile est verrouillé, il ne peut plus être débloqué, selon les chercheurs.
La faille peut être exploitée de deux façons : par une application malveillante qui contient un fichier MKV malicieux, ou en accédant à une page web avec une vidéo MKV spécifiquement conçue et noyée dans le code HTML. « La première technique peut entraîner des effets à long terme sur le terminal : une application, avec un fichier MKV intégré qui s’enregistre elle-même au démarrage lorsque le terminal boot, entrainera le plantage du système d'exploitation à chaque fois qu’il sera mise en route », indiquent les chercheurs de Trend Micro.
Google a réagi mollement
L’exploitation de cette faille sur le web n’est pas aussi persistante et le terminal peut être redémarré pour rétablir le fonctionnement normal. Toutefois, cette vulnérabilité est exploitable même si Chrome pour Android est configuré pour ne pas précharger ou lire automatiquement des fichiers vidéo, ont noté les chercheurs. Trend Micro a rapporté ce à défaut début mai aux équipes de Google, qui lui ont assigné une faible priorité. Dans un communiqué envoyé par courriel, un représentant de Google a déclaré que la compagnie n'a pas vu aucune preuve de tentatives d'exploitation de cette faille jusqu'à présent, mais qu’elle suit de très près ces attaques. « Nous allons fournir un correctif dans une future version d'Android » a assuré la firme de Mountain View.
Même quand un patch sera fourni aux fabricants d'appareils, il faudra probablement des mois pour qu'il atteigne un nombre important de dispositifs. Et de nombreux terminaux ne seront probablement jamais protégés car ils ne sont plus pris en charge par leurs fabricants. La lente distribution des mises à jour de sécurité couplée avec la fragmentation est le talon d'Achille de l'écosystème Android, selon de nombreux chercheurs en sécurité. Tous les logiciels ont des bugs, mais la capacité d'un développeur de créer et de distribuer des correctifs rapidement joue un rôle crucial dans la limitation de l'impact des vulnérabilités potentielles.
Une faille providentielle pour les ransomwares
Un groupe d'assaillants qui pourrait abuser de ce genre de faille sont créateurs de ransomwares. Certaines applications de ce type tentent déjà d'empêcher les utilisateurs d'utiliser leur téléphone jusqu'à ce qu'ils paient des frais de rançon. Cette vulnérabilité pourrait fournir à des cybercriminels un nouveau moyen de parvenir à ce même effet, mais d'une façon qui rendrait les utilisateurs plus enclins à payer, selon les chercheurs de Trend Micro.
Les vulnérabilités découlent souvent du comportement anormal des applications lors de la réception d’une entrée inattendue et les programmes qui traitent les fichiers de plusieurs natures sont susceptibles d'avoir le plus de failles. Les bibliothèques et les cadres médias entrent dans cette catégorie parce que les fichiers audio et vidéo sont complexes et demandent beaucoup de traitement. Ils peuvent avoir des métadonnées, un encodage, un formatage et un conteneur différents, offrant de nombreuses possibilités pour une entrée illicite.
Joshua Drake, un chercheur en sécurité qui a récemment trouvé des vulnérabilités critiques dans le composant Stagefright utilisé pour traiter, exécuter et enregistrer des fichiers multimédias, décrit ce code comme peu mature et truffé de failles propre aux codeurs débutants.