La faille Android qui permet d'infecter un téléphone avec un simple MMS

http://korben.info/la-faille-android-qui-permet-dinfecter-un-telephone-avec-un-simple-mms.html
On dit souvent que le plus gros facteur de risque pour choper un virus se situe entre le clavier et la chaise. En effet, aller sur des sites obscurs, télécharger des trucs chelous, ouvrir des pièces jointes en toute confiance… Non, je le sais, VOUS NE FAITES PAS ÇA !! Et c’est bien ! Pourtant…

Et l’appli SMS AOSP (avec cyanogenmod sans les gapps) est impactée elle aussi ?

OK. Je veux le patch. Sauf que Sony ne fait pas les MàJs sur mon tel, et que je peux pas mettre de ROM custom (merci Orange, c’est toujours un plaisir de savoir que tu as verrouillé le bootloader). Donc du coup, je fais comment ? Bon, j’utilise bien SMSSecure, mais quand y’aura une faille que je pourrais pas bloquer moi-même ?
C’est un triste défaut d’Android, quand même…

Quelques précisions :

  • Google Hangout n’est pas le client par défaut. Il faut le lancer explicitement au moins une fois et l’autoriser à prendre le relais sur l’application SMS d’Android. C’est tout du moins le comportement que j’ai pu observer sur mes Lollipops.
  • L’application de SMS stock semble attendre une action de l’utilisateur pour télécharger/ouvrir les MMS, ce qui est normal à mon avis. Il faut donc une action de l’utilisateur pour exécuter le virus. @Darkkiller
  • Il n’y a pas besoin de changer la ROM pour “mitiger” cette faille. L’application Hangout se met à jour via le Play Store. Il faut tout de même que l’utilisateur ait un compte Google…
1 J'aime

@SeriousLee Ok merci pour les précisions. De toute façon mon téléphone tourne sur une ROM non “officielle” de cyanogenmod, et donc un peu beugée car je dois activer manuellement la data pour recevoir les MMS, et oui c’est bien ce que je constate, il faut cliquer sur télécharger pour récupérer le MMS. Pas de risques donc.

Malheuresement le problème c’est que les vieilles version d’Android dont mon téléphone faisait partie avant mon bidouillage ne peuvent plus faire certaines maj à cause de l’obsolescence programmée de l’OS (de moins en moins d’app compatibles) donc ceux qui ont des antiquités garderont la faille, (un peu comme XP avec la fin des maj).

Tu m’as devancé, d’ailleurs pour préciser c’est comme ça sur toute les versions d’android ou hangout est installé, il demande l’autorisation et hangout n’est toujours pas le client sms par defaut.
Korben merci de prendre en considération cette faute dans l’article qui impact que les gens qui en font leur application de sms par défaut.

D’un coup j’ai pas trop compris, une simple MAJ d’hangout suffi ou bien il faut nécessairement un patch pour la rom ?
PS : pour avoir pesté pas mal de fois sur ça auparavant, merci d’avoir virer cette merde de disqus Korben !!! hourra :stuck_out_tongue:

Ça tombe bien je n’utilise absolument pas Hangout, je trouve ça inutile, je suis en SMS/MMS AOSP.
De plus grâce à SFR je suis naturellement protégé de cette faille car je reçoit environ 1 MMS sur 20 (Une fois les 35 du mois) et encore quand le MMS veut à peu près bien arriver, SFR m’envoie un SMS pour me dire d’aller le lire sur leur site… A moins que cela ne vienne de la ROM ou du téléphone (OPO), mais j’en doute, depuis mon premier tél chez SFR j’ai jamais reçut des MMS correctement.

Sony a sorti une MàJ hier aprem. Appliquée sur Z3 compact.

tu peux demander à télécharger automatiquement les images d’un mms.

Ne pas télécharger les MMS automatiquement n’est qu’une solution temporaire.
D’après Korben, on peut se faire infecter simplement en visionnant une vidéo via n’importe quel biais…
“Elle peut même être exploitée directement depuis le web avec une vidéo malicieuse planquée sur un site web”

Les utilisateurs root ne peuvent ils pas patcher par leur propres moyen au lieu d’attendre la màj qui ne viendra peut être jamais… ?

Cyanogen annonce avoir corrigé la faille également:

je répond a l’arrache …pour dire que la mort de disqu … me comble de joie !! fini cette page qui tourne … tourne …

1 J'aime

A t’on plus d’info sur la lib concernée?

A savoir est-ce la communication Hangout-Stagefright qui est uniquement concerné (auquel cas oui une simple uninstall complète règle la situation) ou est-ce plus gravement au niveau des codecs Stagefright-AndroidSystem (auquel cas on est pas à l’abri d’une faille similaire sur TextSecure&co) ?

**Plus qu’a mettre une petite fenetre de reponse in-article pour Discourse :smile:

Visiblement d’après “Tom’s Guide” pas plus de détails avant les “Black Hat et DEF Con qui se tiendront les 5 et 7 août prochains” et “il semblerait que les hackers soient capables de profiter d’une faille au cœur de la bibliothèque média d’Android, implantée directement en C++ dans le système”. Donc une simple mise à jour d’Hangout ne devrait pas résoudre le problème. D’ailleurs Korben précise que la faille peut être utilisée via une lecture de vidéo sur internet.

J’ai également une question : avec un antivirus installé sur Android, est-ce qu’on craint vraiment quelque chose? Un antivirus ne serait-il pas en mesure de bloquer ce genre de menace?

Tu a beaucoup d’espoir mon ami :smile:

Je pense que ton antivirus ne te sauvera pas. Je ne connais pas le type de faille mais si il s’agit d’un truc du genre ‘root exploit’, l’antivirus perd toute utilité. Si en plus il s’agit d’une faille profonde implémenté dans des basses couches du système autant dire que c’est cuitos…

voir un truc du genre --> https://user.oc-static.com/files/318001_319000/318598.jpg

J’ai comme un doute, ne serait ce pas ce dont il était question lors d’une conf à la dernière NDH?
Je n’ai pas d’appareil utilisant androïd, du coup je n’y ai prêté qu’une oreille distraite, quelqu’un pourrait confirmer ou infirmer?

@ikario
C’est bien ce que je me disais …
Mais l’espoir fait vivre :wink:

@splinter29
Je ne vois rien dans le programme de la dernière NDH traitant de faille Android. Ils ont abordés le man in the middle et les malware android par contre.

VIVE Apple Pi c’est tout, au moins les mises à jours sont gérées par APPLE directement. Car la c’est quand même du très lourd en virus sans action utilisateur. Les moqueries des Android addict envers Apple pour une fois sont absentes :wink:

@ricki Le jour où les gens auront compris ça … On se sentira moins seuls mon petit ricki :smiley:

On voit bien là le plus gros problème d’Android (après la fragmentation des versions) : pour récupérer la mise à jour il faut que Google la publie, que le fabricant du téléphone veuille bien la valider pour ses 1284 modèles de téléphones différents et que dans le pire des cas , l’opérateur la diffuse…
C’est pour ça que je conseille uniquement les Nexus ou les Motorola avec Android. Si t’as un Samsung t’es quasiment sûr de jamais voir la mise à jour ! Ou alors il faut le rooter et installer Cyanogen ou équivalent (ce que 90% des utilisateurs d’Android ne savent pas faire)…