Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur.
Une vulnérabilité corrigée
Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes).
Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS.
Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée.
Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.
