Après Stagefright, une nouvelle faille a été découverte dans le composant mediaserver, chargé de traiter les fichiers multimédia
sur Android. La quatrième en quelques semaines.
Cette faille de sécurité affectant la façon dont Android gère les fichiers multimédia vient d’être mise en évidence par Trend Micro. Logée dans une fonction du mediaserver appelée AudioEffect, elle permet à une application malicieuse d’effectuer des actions non autorisées. L’exploit détaillé par l’éditeur de solutions de sécurité repose sur une erreur de programmation dans ce composant qui, faute de vérifier la taille des mémoires tampon des logiciels clients (comme les players multimédia), permet à une application conçue à cet effet d’accéder aux fonctions normalement réservées au mediaserver : prise de photos, enregistrement de vidéos, lecture de fichiers MP4, notamment. L’utilisateur devrait toutefois installer cette app pernicieuse pour que l’attaque puisse avoir lieu.
Cette faille permet à un pirate d’avoir les accès du serveur multimédia et donc la prise de photos, de vidéo et la lecture des fichiers vidéos. Il suffit que l’utilisateur installe une application spécifiquement développée pour l’occasion, mais qui ne réclame aucune autorisation, laissant penser à une application inoffensive. Une fois que celle-ci est installée, le pirate peut agir à distance.
Ce bug affecte Android à partir de la version 2.3 jusqu’à la version la plus récente, c’est-à-dire Android 5.1.1 (Lollipop). Même les versions d’Android personnalisées par les constructeurs sont concernées par cette faille si le composant du mediaserver n’a pas été modifié.
Pour se débarrasser d’une telle infection, les utilisateurs peuvent utiliser des solutions de sécurité propriétaires ou pour les plus avertis, redémarrer leur système en mode sans échec afin de la désinstaller.
Cette faille découverte par Trend Micro a été rapportée à l’équipe d’Android qui l’a classée comme une vulnérabilité de forte sévérité. Depuis le 1er aout, un correctif est disponible sur sa plateforme Android. Reste seulement à espérer que les constructeurs le mettront à la disposition de leurs chalands le plus tôt possible.
Selon Trend Micro, la faille (étiquetée CVE-2015-3842), qui affecte toutes les versions d’Android depuis la 2.3 jusqu’à la 5.1.1, a été signalée à Google en juin. Un correctif, produit par Mountain View et publié par l’Android Open Source Project le 1er août, est disponible et doit désormais être intégré par les constructeurs de smartphones, afin de mettre à jour le gigantesque parc de terminaux Android.
Source:silicon.fr
