Sous Android, les failles de sécurité se suivent sans forcément se ressembler. Il y a quelques jours, une grave vulnérabilité permettait à un malandrin d’exécuter du code à distance grâce à un MMS infectant le framework Stagefright (lire : Android : une faille de sécurité critique qui demande à être colmatée par les fabricants). Le spécialiste de la sécurité Trend Micro en a repéré une nouvelle qui, fort heureusement, est bien moins sérieuse (néanmoins, l’effet d’accumulation renforce l’image de fragilité d’Android).
Cette nouvelle faille touche tous les smartphones Android depuis la version 4.3 jusqu’à la toute récente 5.1.1 (plus de la moitié des terminaux en circulation). Elle permet à un canaillou de bloquer un mobile ; pour retrouver le plein usage de l’appareil, l’utilisateur devra payer une rançon. La vulnérabilité concerne le serveur multimédia d’AOSP, la base open source d’Android : en tentant d’indexer un fichier MKV infecté, le mediaserver en charge de l’indexation des contenus médias va planter et redémarrer, figeant alors l’OS pendant un court moment.
Pour être touché par le bug, l’utilisateur pourrait se rendre sur un site diffusant le MKV, ou télécharger une application infectée. Cette dernière ferait alors en sorte de redémarrer le smartphone en continu. Seule échappatoire pour l’utilisateur marri : payer la rançon pour se débarrasser du MKV spécial joué en boucle à chaque démarrage de l’appareil.
Trend Micro propose évidemment une solution qui passe par ses propres logiciels mobiles. On peut aussi redémarrer l’appareil en mode sans échec (qui ne charge pas les plug-in tiers), puis supprimer l’application problématique à la main. Mais Google peut également boucher la faille : le moteur de recherche est au courant depuis le mois de mai, mais devant l’inaction de l’entreprise (pour qui la vulnérabilité est de faible niveau), l’éditeur informatique a décidé de rendre la faille publique.
