Les failles de sécurités sur nos appareils mobiles paraissent sans fin. Après vous avoir parlé de Stagefright, voilà la faille CVE-2015-3153 qui pointe le bout de son nez. Deux chercheurs de la division sécurité chez IBM Or Peles et Roee Hay ont dévoilé lors de la conférence de sécurité à la EEUU.
CVE-2014-3153 : « une classe pour les dominer toutes »
Telle est la philosophie de cette faille. Le CVE-2014-3153 est un petit code qui peut être inclus dans une application. Aussi surprenant que cela puisse paraître, ladite application ne demande aucune autorisation qui pourrait mettre la puce à l’oreille au plus méfiant d’entre nous. Ce fameux code, une fois exécuté, permet d’élever les droits du pirate. C’est ce qui fait la dangerosité de la faille CVE-2014-3153, puisqu’une application détenant ce code peut être soumise au Play Store et passer sous les radars de la surveillance de Google.
Une fois installée (par le biais d’un jeu ou d’une application) et activée celle-ci donne le contrôle total de l’appareil. La vidéo montre ci-dessous montre la mise en oeuvre et comment il est possible par exemple de changer une application Facebook par une factice. Le but : récupérer les identifiants de la victime.
[youtube id= »VekzwVdwqIY »]La faille CVE-2014-3153 touche les appareils à partir d’Android 4.3 jusqu’à Android 6 Marshmallow, soit la moitié des appareils dans le monde. Bien que la démonstration montre grossièrement l’activation du code malicieux, dans les faits celui-ci se fait de manière transparente pour l’utilisateur. IBM a bien entendu prévenu les équipes de Google qui ont déjà lancé une série de patchs.
Espérons qu’il en soit de même pour les constructeurs et les opérateurs, pour ne pas laisser nos appareils vulnérables. Vous trouverez plus d’informations sur le blog de Trend Micro ou sur Usenix.org.
Source : National Vulnerability Database
