L’ANSSI avertit que l‘OS Android de Google contient de multiples vulnérabilités. Il existe un risque majeur d’exécution de code arbitraire à distance, sur les systèmes Google Android versions 2.2 et supérieures.
Ces multiples vulnérabilités découvertes dans Google Android permettent à un attaquant de provoquer une exécution de code arbitraire à distance. Ces vulnérabilités reposent sur l’exploitation de failles résidant dans le composant Stagefright, le framework de lecture multimédia de Google Android. Cette vulnérabilité est déclenchée lors de l’ouverture d’un contenu multimédia spécialement forgé. En particulier l’ouverture d’un message de type MMS déclenche automatiquement la vulnérabilité. Si l’utilisateur a activé la consultation de ces messages via l’application Hangouts, aucune interaction n’est nécessaire afin de déclencher l’exécution de code arbitraire.
Google a déjà appliqué des correctifs pour ces vulnérabilités. Cependant la disponibilité de ces correctifs pour les différents smartphones dépendra de la réactivité des différents constructeurs. A ce jour, seuls les systèmes PrivatOS version 1.1.7 corrigent ces vulnérabilités.
Un contournement possible, en attendant un correctif de l’éditeur, est de désactiver la réception des message de type SMS et MMS via Hangouts si c’était le cas ; désactiver la réception automatique des messages de type MMS dans l’application de lecture des message native ; ne pas ouvrir les contenus multimédias provenant de sources inconnues.
De façon générale, il est conseillé de ne pas ouvrir d’email, de SMS, ou de MMS, d’expéditeurs inconnus. Tous les fichiers attachés doivent être également sujets à précaution.
Pour en savoir plus : http://www.ssi.gouv.fr/