Alors que la sécurité est au centre des préoccupations de tous les constructeurs de smartphones et ordinateurs portables, les failles détectées au niveau des principaux systèmes sont de plus en plus fréquentes et de plus en plus dangereuses. Après les SMS et les fuites électromagnétiques, voilà qu'une simple image JPEG peut pirater un smartphone Android.
Les hackers spécialisés dans la recherche des failles ne cessent de trouver des faiblesses au niveau des principaux systèmes d'exploitation à la fois des ordinateurs et des smartphones. La dernière en date concerne les appareils tournant sous Android dont une faille critique vient d'être découverte pas un chercheur. Bien que ces brèches aient déjà été réparées depuis, il n'en demeure pas moins que cela démontre une fébrilité au niveau de la sécurité.
Une simple image JPEG peut pirater un smartphone Android
Deux failles critiques viennent successivement d'être découvertes par des chercheurs. La première concerne la gestion des données Exif qui permet de pénétrer le système Android sans même que le propriétaire du smartphone fasse quoi que ce soit. Cette vulnérabilité a été découverte par Tim Strazzere qui est un spécialiste en sécurité au sein de la société SentinelOne. Portant le nom de code de CVE-2016-3862, cette faille se trouve au niveau de la librairie ExifInterface, qui permet d'accéder aux métadonnées des images. En envoyant une simple image JPEG par messagerie instantanée ou sur un client email, cela permet d'exécuter un code arbitraire sur le terminal du destinataire sans que ce dernier ne fasse quoi que ce soit. Il n'a même pas besoin de cliquer sur l'image pour que le programme malveillant s'exécute. Il suffit juste qu'il ouvre l'email ou le message instantané. Toutes les versions d'Android à partir de 4.2 sont concernées par cette faille, qui a été rectifiée par Google depuis.
Un ingénieur de Google Project Zero a trouvé une autre faille critique, portant le nom de code CVE-2016-3861. Marc Brand, puisqu'il s'agit de lui, avance que la faille concerne la librairie libutils où une élévation de privilège ou un code arbitraire peuvent être exécutés. La fonction gérant la conversion des chaînes de caractères Unicode est principalement concernée par cette vulnérabilité. Et comme cela peut affecter d'autres librairies, le danger est tout simplement important pour tous les smartphones tournant sous Android. En guise de démonstration, l'ingénieur a utilisé les métadonnées ID3 des fichiers MP3 pour provoquer un bug du smartphone.
Piratage smartphone Android - Une succession de découvertes inquiétantes
Avant la découverte de ces deux failles critiques, d'autres spécialistes ont déjà démontré que le système de Google présentait d'énormes lacunes au niveau de sa sécurité. Des hackers ont par exemple capté des signaux émis involontairement par les circuits imprimés et en extraire des clés de chiffrement privées. Des applications comme Bitcoin ou OpenSSL ont particulièrement souffert de cette faille.
Une autre faille, bien plus dangereuse, a été découverte par les ingénieurs de la société Zimperium. Cela concerne la prise de contrôle d'un appareil sous Android à partir de l'envoi d'un simple SMS. Ce texto contient des contenus multimédia et dès que le destinataire ouvre le message, le programme s'exécute et fait planter le smartphone.
Sources :
Un simple JPEG peut pirater votre smartphone Android
Un simple SMS permet de pirater un smartphone Android
On peut pirater les smartphones iOS ou Android à cause de leurs fuites électromagnétiques