Pour pirater un appareil Android, il suffit d'envoyer un MMS malicieux qui va tirer parti d'une faille de sécurité dans le code d'AOSP, la base libre du système, et ainsi permettre d'exécuter du code à distance. C'est la découverte de Zimperium zLabs qui parle carrément de « plus grave faille d'Android jamais trouvée » parce qu'elle concerne 95 % des terminaux, soit environ 950 millions d'appareils, et qu'elle est simple à exploiter — il faut juste avoir le numéro de téléphone de la victime (et le code d'exploitation, évidemment).
La faille se situe dans Stagefright, le framework servant à la lecture des fichiers multimédias. À l'aide d'un fichier multimédia malicieux envoyé par MMS, le malandrin peut exécuter du code à distance sur le terminal, sans même avoir besoin que le MMS soit ouvert à un moment ou à un autre. La simple réception du MMS par la cible ouvre les portes de son smartphone. L'attaquant peut même faire en sorte de supprimer le MMS malfaisant afin de ne laisser aucune trace d'effraction puisqu'il a la main sur l'appareil.
Cette découverte sera présentée en détail lors des conférences Black Hat le 5 août et Def Con 23 le 7 août. Google a été mis au courant et a d'ores et déjà mis au point un correctif.
La balle est maintenant dans le camp des fabricants pour distribuer ce patch le plus rapidement possible. Toutefois, comme le note Zimperium zLabs, « ce genre de mise à jour pour les terminaux Android prend traditionnellement du temps pour parvenir jusqu'aux utilisateurs » et les appareils qui ont plus de 18 mois ne sont plus pris en charge généralement. « Nous espérons que les membres de l'écosystème Android vont prendre conscience de la gravité de ce problème et vont appliquer immédiatement des mesures », déclare le spécialiste de la sécurité.
Firefox, qui était aussi vulnérable, a vu le problème réglé dans sa version 38 et le Blackphone, qui exploite AOSP comme base, a également été immunisé. À tous les autres de se protéger maintenant.
