Les mises à jour d'Android sont un frein à la sécurité

Anthony Nelzin-Santos |

skitchedLe chercheur en sécurité M.J. Keith, travaillant pour Alert Logic, a déclaré lors de la dernière conférence HouSeCon avoir écrit un code permettant d'exécuter une commande shell dans le navigateur d'Android, avec à la clef la récupération possible de certains contenus. Le problème vient du fait que cette faille est connue depuis quelque temps déjà.

Il s'agit d'une faille dans WebKit connue par Google, dont le porte-parole Jay Nancarrow explique qu'elle « n'affecte pas Android 2.2 et plus ». Problème : selon Google, 64 % des téléphones équipés d'Android utilisent justement Android 1.5, 1.6 ou 2.1, et sont donc vulnérables. Cette faille ne permet d'accéder qu'aux données auxquelles le navigateur a accès : « vous avez le contrôle de la carte SD », explique Keith, qui a rendu sa faille publique. On peut aussi accéder aux photos, mais pas à plus, le navigateur des anciennes versions d'Android n'implémentant par les Device APIs de la plateforme HTML5, qui permettent par exemple l'accès aux SMS ou au carnet d'adresses.

De manière générale, cette faille pose la question de la sécurité sous Android : la faille dans PCRE qui a valu 10.000 $ à Charlie Miller a été réglée dans WebKit, mais pas sur Android. Coverty Scan aurait aussi découvert 88 failles « majeures » dans Android 2.2. Quand les failles sont bouchées, elles ne le sont qu'avec la dernière version de l'OS, mais c'est un reproche que l'on pourrait aussi faire à Apple (qui a laissé une partie des appareils iOS sur le carreau avec iOS 4) ou RIM.

Mais contrairement à iOS où tous les appareils peuvent être mis à jour immédiatement (et où en cas de problème majeur, Apple pourrait proposer une mise à jour iOS 3 et iOS 4, comme elle le fait parfois pour Mac OS X), c'est loin d'être le cas sous Android, où les opérateurs et les fabricants sont un frein à la mise à jour, puisque le processus est décentralisé sur Android — certains appareils sont d'ailleurs vendus sous une version de l'OS de Google qui n'est pas la dernière en date, un comble. Un autre aspect de la fragmentation d'Android sur lequel Google devra bien, à un moment ou à un autre, se pencher.

Via Network World

Tags
#android #sécurité
avatar crifan | 
Les limites du libre , tant vénéré par certains et décriés par d'autre.
avatar Lou117 | 
C'est la limite de tout logiciel utilisable sur des appareils différents. C'est tout. C'est en rien nouveau. Les feature phone d'avant avaient les mêmes soucis. Symbian idem, Windows Mobile idem... Le seul problème là c'est que Android devient TRES populaire et qu'il est un OS ou généralement on stocke rapidement beaucoup d'informations très personnelles. Dès lors la moindre faille tend à être exploitée. A voir ce que Google fera pour luter contre.
avatar STi_wings | 
Oui, c'est bien le "MS Windows" de la téléphonie, comme l'avaient décrits certains (et contesté par d'autres hystériques). Avec son lot d'avantages mais aussi son lot de défauts.
avatar eipem | 
Je suis d'accord pour dire que la popularité d'Android fait qu'il y a plus de monde sur le coup pour trouver et exploiter ses failles, de sorte qu'on pourrait en trouver plus sur Android que sur iOS sans pour autant qu'Android soit moins bien sécurisé. Je n'ai de toute façon pas les moyens de le savoir, et ça n'a d'ailleurs pas d'importance. Toutefois, il me semble que tu t'écartes un peu du sujet. Il est ici question d'une faille connue de longue de date de Google sur ses OS antérieur à Froyo. Ce n'est donc pas une nouveauté, découverte récemment par les hackers vraichement débarqué sur le champ de bataille de la sécurité d'Android. Ce qui est finalement problématique pour les quelques 60% d'utilisateurs d'Android qui n'ont pas eu droit à une MAJ de sécurité. On sait pourtant que, même si Google n'as pas de système de MAJ automatique comme Apple (c'est d'ailleurs un parti pris défendable pour l'indépendance du système) elle a pourtant le pouvoir de faire des MAJ dormantes OTA tout comme celui de desinstaller un programme à distance, comme l'a fait il n'y a pas très longtemps. Il est possible que ce soit du fait des surcouches constructeur, quoi qu'il en soit Google doit agir (en laissant moins de "liberté" peut-être?) si elle veut être en mesure d'assurer la sécurité de ses futurs clients PS: Apple a déjà publié une MAJ de sécurité pour iOS 3.x après la publication d'iOS 4, dont mon amie a bénéficié sur son EDGE.
avatar Tibimac | 
La conférence "HouSeKon"... Voilà, voilà. Mais bon, il y a de moins en moins de francophones. Heureusement pour eux.
avatar alex9517 | 
Un ami avec un HTC Magic ne peut pas obtenir la mise à jour 2.2 et reste en 1.6 car l'opérateur freine la mise à jour de l'appareil. L'opérateur renvoie à Google, Google renvoie au concepteur, le concepteur renvoie et à Google, et à l'opérateur !
avatar icst | 
Il n'avait qu'a acheter un iPhone puisque c'est ton amis, tu aurais pu le conseiller. Sinon il lui reste : http://blog.holivier.me/2010/09/froyo-sinvite-sur-mon-htc-magic.html
avatar Otto Mator | 
@ AppleAndro : Il a le droit de préférer android. C'est la faute desoperateurs et des constructeurs pour ces majs. Cependant, les constructeurs peuvent ajouter eux mêmes des correctifs dans petites iodates, comme le fait SE, sur des tels en 1.6...
avatar BM-Mac | 
J e ne suis pas un fan d'android mais je trouve que c'est un bon os, depuis que win 7 est sortie comme par hasard on etends parler que des défauts d'android étrange quand même... ( dsl pour les fautes d'orthographe )
avatar alex9517 | 
C'est Windows Phone 7, pas Windows 7. Si non, ces défauts sont déjà sortis, et les nouvelles n'ont rien à voir avec la sortie de Windows Phone 7...
avatar BM-Mac | 
"C'est Windows Phone 7, pas Windows 7." arrête t'es trop fort toi pff... bref c'est ce que je pense et me fais croire le contraire c'est me faire croire qu'on vit dans un monde bisounours ...
avatar alex9517 | 
Windows 7 est un SE de bureautique, Windows Phone 7 est un SE pour cellulaire. Tu verras que je matiens mon langage, tu éviteras donc de me postillonner avec ta non-retenue et tes « Pff ». Android a toujours été critiqué pour ce genre de problèmes, il suffit que tu ailles voir ailleur pour constater cela. Le libre n'est qu'une simple « faille épique ».
avatar eldaran83 | 
Totalement d'accord avec lppa
avatar BM-Mac | 
"Windows 7 est un SE de bureautique, Windows Phone 7 est un SE pour cellulaire." arrête ? je te le redis t'es trop fort toi pffff sauf que t'a rien compris a ce que je voulais dire en fait j'utilisais une abrévation j'avais pas envie d'écrire windows phone 7 , à tout mes comm j'écris win 7 parce que je me dis que les gens sont capable de comprendre surtout quand je compare à android ou ios et surtout lorsque j'en parle sur ig ( igénération!!!) alors avant de faire ton malin tu ferais mieux de réfléchir.... Je sais qu'il y a certain problèmes sur android comme il y en a obligatoirement sur win 7 ( windows phone 7 ) mais j'ai juste remarqué que c'est derniers jours les critiques sortaient les une après les autres envers Android, est ce que j'ai le droit d'avoir des doutes ou c'est interdit ?
avatar alex9517 | 
Je répète encore mon précédent commentaire, puisque tu as une incapacité à lire et à comprendre ce que tu lis : Tu verras que je matiens mon langage, tu éviteras donc de me postillonner avec ta non-retenue et tes « Pff ». Android a toujours été critiqué pour ce genre de problèmes, il suffit que tu ailles voir ailleur pour constater cela. Le libre n'est qu'une simple « faille épique ».
avatar BM-Mac | 
pff.... et ?
avatar winstonsmith | 
@ chenzo57 : Tu as parfaitement le droit d'avoir des doutes, mais les tiens sont infondés. C'est voir le mal partout, ton truc. Android est critiqué depuis sa sortie pour son aspect "libre" depuis sa sortie. D'ailleurs on n'a presque pas encore vu de comparatif Android/WP7. En plus, tu pourrais faire un effort dans ton orthographe, parce que là, t'es pas très lisible, c'est pas une bonne technique pour avoir l'air crédible. Et dernièrement, "avoir des doutes" ne te permet pas d'être désagréable avec les gens. Et pour terminer, abrège plutôt Windows Phone 7 en WP7, c'est comme ça que les autres sites font.
avatar BM-Mac | 
j'ai des doutes mais les miens sont infondés, c'est vrai c'est juste un avis personnelle et ai je le droit d'avoir un avis personnelle ou est ce interdit ? ( entre nous si on devait se baser sur ce qui est vraiment infondé sur ce site 99% des commentaires valent rien du tout... ) " "En plus, tu pourrais faire un effort dans ton orthographe, parce que là, t'es pas très lisible, c'est pas une bonne technique pour avoir l'air crédible." pourquoi ceux qui sont étrangés ne sont pas crédible ? donc selon ta théorie à 2 balle seul ceux qui parlent correctement le français ont le droit de s'exprimer de penser et le reste à la poubelle hein ? (pathétique....) moi la crédibilité je ne la juge pas sur la forme mais sur le fond, on est sur un site d'informatique donc on pourrait un peu se lâcher... "Et dernièrement, "avoir des doutes" ne te permet pas d'être désagréable avec les gens." je ne supporte pas qu'on essaie de jouer les malin sans comprendre c'est mesquin si j'ai envie de dire win 7 je dirais win 7 il ne faut pas sortir de lena pour comprendre de quoi je parle quand même.... et en quoi ça te regarde c'est un problème entre lui et moi.... cordialement
avatar winstonsmith | 
Erreur de frappe : une fois "depuis sa sortie", ça suffit.

CONNEXION UTILISATEUR