Android : des failles exploitent les surcouches constructeurs

Nicolas Furno |

Des chercheurs de l'université de Caroline du Nord ont trouvé plusieurs failles de sécurité sur Android. Ces failles sont très sérieuses puisqu'elles pourraient permettre à des développeurs malhonnêtes de contourner les protections du système mobile de Google et ainsi d'accéder aux données confidentielles de l'utilisateur à son insu.

Pour prouver la dangerosité de leur découverte, ces chercheurs ont développé des applications qui sont capables d'activer en permanence et en toute discrétion le micro d'un terminal Android. Le programme enregistre ainsi ce qui se dit autour du terminal, mais aussi toutes les conversations téléphoniques. Dans la vidéo, on voit aussi que l'application est capable d'envoyer un SMS à un destinataire inconnu qui pourrait très bien être un service surtaxé.

Les conclusions de ces chercheurs sont très intéressantes. Ils ont mené des tests sur différents smartphones Android et ils ont établi que moins un smartphone est modifié par le constructeur ou par un opérateur, moins il est vulnérable. Les failles sont majoritairement liées aux surcouches des constructeurs ou aux applications préinstallées par les opérateurs.

Les chiffres sont sans appel : les Nexus One et Nexus S commercialisés par Google ne sont sensibles qu'à une seule faille sur la gamme découverte par les chercheurs. Le téléphone HTC EVO 4G pourrait être attaqué quant à lui avec pas moins de huit failles : position géographique précise, caméra, enregistrement audio ou encore envoi de SMS, les failles sont ainsi sérieuses.

htc evo 4g

Les constructeurs ne les prennent pourtant pas toujours au sérieux. Les chercheurs ont alerté Google et HTC, mais aussi Samsung et Motorola qui sont aussi concernés. Seuls Google et Motorola ont rapidement répondu en confirmant les failles et en travaillant sans doute déjà à les combler. HTC et Samsung sont les plus touchés, mais ils ont fait preuve de mauvaise volonté pour répondre aux chercheurs qui se demandent même s'ils vont les corriger rapidement.

Ces derniers précisent en outre qu'ils n'ont pas testé leurs failles sur tous les terminaux Android commercialisés. D'autres modèles pourraient ainsi être également concernés. En attendant, si vous souhaitez acheter un smartphone Android, les téléphones de Google constituent indéniablement la meilleure option pour être à jour et éviter ce type de failles.

[Via : The Register]

Tags
#faille #android
avatar STi_wings | 
Open, même aux failles. Joke. Je m'en vais acheter popcorn et soda, les réactions s'annoncent savoureuses.
avatar Le Chapelier | 
Ce soir en rentrant j'aurai ici à coup sur un peu de lecture.
avatar napuconcture | 
Si cela se passait comme pour les entreprises et que des négligence en terme de sécurité pouvait donner lieu à poursuites et amendes ils se préoccuperaient un peu plus de sécurité (ils étant tous)
avatar Macriart | 
@Mister_Sam32 : Bah pourquoi tu es pas resté sur ton iOS et ton iPad et ton iPhone et ton iMac et ton Imalife ?
avatar djmat | 
HTC et Samsung sont les constructeurs dont la surcouche est implanté la plus profondement dans le système et le modifie le plus. Certains trouvent que ces surcouches sont un apport positif, très bien, c'est surement le cas (perso je trouve que rien ne vaut de la pure AOSP), au moins ça permet le choix et la personnalisation. Après, les constructeurs doivent assumer. En allant modifier le système en profondeur forcément ils l'exposent à des failles. Google devrait être bien plus regardant sur les conditions d'utilisation d'Android chez les constructeurs, en tout cas eux ils font le boulot.
avatar marcplemay | 
C'est pas vraiment etonnant, au plus y'a des logiciels installés et donc du code, au plus y'a des failles. Et sur le manque de réactivité des constructeurs pour leurs surcouches, c'est pas leur métier à la base donc il ne faut pas s'attendre à une réactivité énorme; y'a qu'a voir quand une mise à jour d'android nécessite une mise à jour de leur surcouche maison, on en a pour des mois ... pour ceux qui jugent nécessaire de la modifier !
avatar jewan | 
Mais ta vie elle est pourrie toi sérieux...... Blague a part il est vrai que les sur couches apportaient un plus niveau ergonomie notamment HTC Sense. Mais ICS a bien amélioré les choses. Toutefois je doute que les constructeurs abandonnent ces surcouches.....
avatar gilzecat | 
@samdroid lemac : parce que sur l'android market il n'y a pas d'application pourries ? La bonne blague ! D'autant plus que le travail de Miller était impossible à découvrir. C'est justement pour cela qu'il a fait valider son application. Avant de parler renseigne toi un peu.
avatar napuconcture | 
@Francis Kuntz tu mélange un peu tout. Ce n'est pas le noyau Linux qui est mis en faute ici, ni même les mécanismes de sécurité d'Android. Ce sont les surcouches des constructeurs qui s'autorisent à bypasser les mécanismes des sandbox d'android et qui visiblement certains n'ont que faire des correctifs de sécurités.
avatar baaam04 | 
Entre CarierIQ et les failles, je crains vraiment pour la sécurité et la confidentialité des infos du reste de ma famille, qui sont tous sous Androïde... Si Apple commençait à faire des campagne de pub sur les défauts des autres constructeur, comme à l'inverse ils le font si bien, peut être que le grand public serait un peu plus au courant... Au passage, le dernier Nexus Galaxy semble vraiment bien fini, mais il serait annoncé plus cher que l'iPhone, alors on continuera plutôt à voir fleurir des Galaxy SII mal protéger ...
avatar angealexiel | 
@Tom.P: Ce n'est pas parce qu'il est facile de poster ce qu'on veut sur le web que l'on peut s'affranchir de vérifier ses sources: Amazon.de (Amazon.fr n'a pas encore le Nexus) : - iPhone 4S 16 GB - 715 euros - Samsung Galaxy Nexus 16 GB - 522 euros Liens: http://www.amazon.de/Apple-Dualcore-Smartphone-Touchscreen-Display-Megapixel/dp/B005UEF678/ref=sr_1_1?ie=UTF8&qid=1323161356&sr=8-1 http://www.amazon.de/Samsung-Smartphone-Touchscreen-Megapixel-titanium-silber/dp/B005Y5SE6I/ref=sr_1_1?ie=UTF8&qid=1323161367&sr=8-1
avatar marcplemay | 
"open" ca doit être compris comme la possibilité d’améliorer le code (et d'en faire profiter les autres pour le cas des logiciels libres. ) Certains sans compétences requises comme l'a dit Oomu peuvent aussi pourrir le code... C'est le problème avec la liberté; tout est possible...
avatar guiz913 | 
Ha oui carrer IQ ne touche pas Apple..enfin si, mais a Cupertino ils ont dis que c'etais pas grave aprce que ce qu'il enregistre depuis presque 3ans c'est pas très important...et ha oui depuis 2 mois sur IOS5 c'est desactivable..bon c'est là depuis IOS3 mais bon...quant aux failles qui n'existent pas sur nexus one et nexus S (qui ne viennent pas "d'être commercialisés")serait comme par miracle de la faute de Google quand ça sort de leurs cercles? C'est ça? Bref personne n'est à l'abris,même pas Apple,ni Windows...Mais bon ça à l'air de faire plaisir au démunis du tantinet d'ésprit qui decident de filtrer les news et y voir uniquement ce qu'ils veulent!
avatar jewan | 
Tu dois être une victime dans ta vie non toi aussi? Tu bosses dans la même boite que Kuniz non ? :D
avatar an3k | 
@sandroid lemac C'est plus compliqué que ce que tu dis en fait :-) J'ai lu le PDF (en diagonale car manque de temps) et en gros, tu peux créer ET mettre à disposition sur le market une appli qui pourra obtenir des autorisations SANS avoir à les exposer au moment de l'installation (style accéder à Internet, aux sms, appeler des n° surtaxés...). Il s'agit d'une faille qui si elle avérée nécessite de la part de HTC ou de Samsung une réelle vonlonté de montrer qu'ils se sentent concernés. Des failles, il y en a toujours, sur tous les produits. Mais il faut les reconnaître et tout faire pour vite les combler. L'Android Market n'offre aucune garantie sur cet aspect.
avatar Billytyper2 | 
@samdroid lemac Tu es d'un incroyable mauvaise foi. Tu veux la liste des malwares ? c'est là http://www.androidpolice.com/2011/03/01/the-mother-of-all-android-malware-has-arrived-stolen-apps-released-to-the-market-that-root-your-phone-steal-your-data-and-open-backdoor/ http://arstechnica.com/open-source/news/2011/03/malware-in-android-market-highlights-googles-vulnerability.ars Et pour le cas de Charlie Miller, il a été embauché par Apple, tu crois qu'un petit personnel de validation peut se permettre de refuser un mec embauché spécialement par Apple ? Bon maintenant qu'est-ce que tu vas nous sortir encore comme connerie ?

CONNEXION UTILISATEUR