Si vous utilisez un téléphone utilisant une version d’Android comprise entre 7.0 et 9.0 (Nougat, Oreo ou Pie), vous devez installer immédiatement la dernière mise à jour de sécurité, sinon vous risquez de vous faire pirater votre téléphone par des logiciels malveillants.
Le coupable est une vulnérabilité dans les versions Android susmentionnées (CVE-2019-2107), qui permet aux pirates d’exécuter à distance du code arbitraire en se faufilant dans des « fichiers spécialement conçus », comme des vidéos contenant une charge utile malveillante. Une fois qu’une victime a ouvert le fichier, les attaquants peuvent accéder à leur appareil.
Le développeur Marcin Kozlowski a déjà téléchargé une preuve de concept pour le vecteur d’attaque sur GitHub.
« Un vecteur d’attaque possible est l’ouverture d’un fichier vidéo malveillant non modifié « , a déclaré Kozlowski. « De tels fichiers peuvent être envoyés par exemple par e-mail (l’application Gmail charge la vidéo avec le lecteur vidéo de base d’Android, sauf si vous l’avez changé pour un autre lecteur).
Heureusement, il y a quelques mises en garde qui rendent l’exploit difficile (mais pas impossible) à réaliser.
D’une part, l’attaque ne fonctionnera que si les victimes chargent la vidéo infectieuse dans son état non modifié.
En fait, les gens ont déjà émis l’hypothèse que l’envoi de logiciels malveillants via des services qui réencodent la vidéo – comme YouTube, WhatsApp ou Messenger – va étouffer les attaques.
Kozlowski appuie cette hypothèse. « Si la vidéo était touchée ou réencodée, ce que font les messagers, je pense, cela mettrait fin à l’attaque « , a-t-il dit. « Le retéléchargement devrait casser l’exploit « , a ajouté Lukas Stefanko, chercheur en malware.
Google a déjà fait tomber un correctif
Bien que la vulnérabilité soit assez grave, la bonne chose est que Google a déjà déployé une mise à jour de sécurité qui corrige le problème.
En effet, la faille en question était l’une des trois vulnérabilités de Media Framework auxquelles Google s’est attaquée dans son bulletin de sécurité de juillet. « La vulnérabilité la plus grave de cette section pourrait permettre à un attaquant distant utilisant un fichier spécialement conçu d’exécuter du code arbitraire dans le contexte d’un processus privilégié « , écrit la société.
Il est difficile d’estimer le nombre d’appareils à risque, mais Google s’est vanté d’avoir plus de 2,5 milliards de téléphones Android actifs en mai 2019. Sur ce nombre, près de 58 % (environ 1,5 milliard) utilisent des versions d’Android sensibles à cette vulnérabilité, selon le tableau de bord de distribution de Google.
Bien sûr, on ne sait pas combien de ces téléphones ont été patchés avec la dernière mise à jour de sécurité. Google n’a pas précisé le nombre exact, mais un porte-parole rapporte que son équipe de sécurité n’a vu aucune preuve de cette vulnérabilité exploitée dans la nature.
Plus tôt en juillet, Symantec a découvert un vecteur d’attaque qui permettait de manipuler des fichiers multimédia – comme des vidéos et des images – sur WhatsApp et Telegram. Contrairement à cette vulnérabilité Android, le malware Symantec détaillé ne permettait pas l’exécution de code à distance ou la prise en charge de périphériques.
Si vous utilisez une version d’Android affectée, votre meilleur choix serait de mettre à jour votre système d’exploitation dès que possible. Google a déjà publié une mise à jour de sécurité (2019-07-05) qui corrige ce problème. Suivez ces étapes pour vous protéger.