Android : des failles exploitent les surcouches constructeurs

Nicolas Furno |

Des chercheurs de l'université de Caroline du Nord ont trouvé plusieurs failles de sécurité sur Android. Ces failles sont très sérieuses puisqu'elles pourraient permettre à des développeurs malhonnêtes de contourner les protections du système mobile de Google et ainsi d'accéder aux données confidentielles de l'utilisateur à son insu.

Pour prouver la dangerosité de leur découverte, ces chercheurs ont développé des applications qui sont capables d'activer en permanence et en toute discrétion le micro d'un terminal Android. Le programme enregistre ainsi ce qui se dit autour du terminal, mais aussi toutes les conversations téléphoniques. Dans la vidéo, on voit aussi que l'application est capable d'envoyer un SMS à un destinataire inconnu qui pourrait très bien être un service surtaxé.

Les conclusions de ces chercheurs sont très intéressantes. Ils ont mené des tests sur différents smartphones Android et ils ont établi que moins un smartphone est modifié par le constructeur ou par un opérateur, moins il est vulnérable. Les failles sont majoritairement liées aux surcouches des constructeurs ou aux applications préinstallées par les opérateurs.

Les chiffres sont sans appel : les Nexus One et Nexus S commercialisés par Google ne sont sensibles qu'à une seule faille sur la gamme découverte par les chercheurs. Le téléphone HTC EVO 4G pourrait être attaqué quant à lui avec pas moins de huit failles : position géographique précise, caméra, enregistrement audio ou encore envoi de SMS, les failles sont ainsi sérieuses.

htc evo 4g

Les constructeurs ne les prennent pourtant pas toujours au sérieux. Les chercheurs ont alerté Google et HTC, mais aussi Samsung et Motorola qui sont aussi concernés. Seuls Google et Motorola ont rapidement répondu en confirmant les failles et en travaillant sans doute déjà à les combler. HTC et Samsung sont les plus touchés, mais ils ont fait preuve de mauvaise volonté pour répondre aux chercheurs qui se demandent même s'ils vont les corriger rapidement.

Ces derniers précisent en outre qu'ils n'ont pas testé leurs failles sur tous les terminaux Android commercialisés. D'autres modèles pourraient ainsi être également concernés. En attendant, si vous souhaitez acheter un smartphone Android, les téléphones de Google constituent indéniablement la meilleure option pour être à jour et éviter ce type de failles.

[Via : The Register]

Tags
avatar STi_wings | 
Open, même aux failles. Joke. Je m'en vais acheter popcorn et soda, les réactions s'annoncent savoureuses.
avatar Le Chapelier | 
Ce soir en rentrant j'aurai ici à coup sur un peu de lecture.
avatar napuconcture | 
Si cela se passait comme pour les entreprises et que des négligence en terme de sécurité pouvait donner lieu à poursuites et amendes ils se préoccuperaient un peu plus de sécurité (ils étant tous)
avatar Macriart | 
@Mister_Sam32 : Bah pourquoi tu es pas resté sur ton iOS et ton iPad et ton iPhone et ton iMac et ton Imalife ?
avatar djmat | 
HTC et Samsung sont les constructeurs dont la surcouche est implanté la plus profondement dans le système et le modifie le plus. Certains trouvent que ces surcouches sont un apport positif, très bien, c'est surement le cas (perso je trouve que rien ne vaut de la pure AOSP), au moins ça permet le choix et la personnalisation. Après, les constructeurs doivent assumer. En allant modifier le système en profondeur forcément ils l'exposent à des failles. Google devrait être bien plus regardant sur les conditions d'utilisation d'Android chez les constructeurs, en tout cas eux ils font le boulot.
avatar marcplemay | 
C'est pas vraiment etonnant, au plus y'a des logiciels installés et donc du code, au plus y'a des failles. Et sur le manque de réactivité des constructeurs pour leurs surcouches, c'est pas leur métier à la base donc il ne faut pas s'attendre à une réactivité énorme; y'a qu'a voir quand une mise à jour d'android nécessite une mise à jour de leur surcouche maison, on en a pour des mois ... pour ceux qui jugent nécessaire de la modifier !
avatar jewan | 
Mais ta vie elle est pourrie toi sérieux...... Blague a part il est vrai que les sur couches apportaient un plus niveau ergonomie notamment HTC Sense. Mais ICS a bien amélioré les choses. Toutefois je doute que les constructeurs abandonnent ces surcouches.....
avatar denisbook | 
le noyau linux EST "sécurisé". Il a maintes fois prouvé sa valeur et ce qui est développé avec dépasse l'entendement (peu du grand public réalise combien Linux est omniprésent). Mais ce n'est qu'un noyau, tout comme XNU de os X. Si au dessus on lui dit de faire n'importe quoi, ben il le fait. Chaque couche doit être conçu et maintenu (il n'y a pas le choix : le bug est conséquence naturelle de l'activité humaine) activement, en permanence et avec la plus grande des rigueurs. ce qui demande du temps, des ingénieurs et des sous.
avatar gilzecat | 
@samdroid lemac : parce que sur l'android market il n'y a pas d'application pourries ? La bonne blague ! D'autant plus que le travail de Miller était impossible à découvrir. C'est justement pour cela qu'il a fait valider son application. Avant de parler renseigne toi un peu.
avatar denisbook | 
rien ne vaut une machine dont l'ensemble des couches logicielles est maintenue et développée (même si c'est avec d'autres dans un projet + global) par la même entreprise. Dans votre exemple: google.
avatar napuconcture | 
@Francis Kuntz tu mélange un peu tout. Ce n'est pas le noyau Linux qui est mis en faute ici, ni même les mécanismes de sécurité d'Android. Ce sont les surcouches des constructeurs qui s'autorisent à bypasser les mécanismes des sandbox d'android et qui visiblement certains n'ont que faire des correctifs de sécurités.
avatar baaam04 | 
Entre CarierIQ et les failles, je crains vraiment pour la sécurité et la confidentialité des infos du reste de ma famille, qui sont tous sous Androïde... Si Apple commençait à faire des campagne de pub sur les défauts des autres constructeur, comme à l'inverse ils le font si bien, peut être que le grand public serait un peu plus au courant... Au passage, le dernier Nexus Galaxy semble vraiment bien fini, mais il serait annoncé plus cher que l'iPhone, alors on continuera plutôt à voir fleurir des Galaxy SII mal protéger ...
avatar angealexiel | 
@Tom.P: Ce n'est pas parce qu'il est facile de poster ce qu'on veut sur le web que l'on peut s'affranchir de vérifier ses sources: Amazon.de (Amazon.fr n'a pas encore le Nexus) : - iPhone 4S 16 GB - 715 euros - Samsung Galaxy Nexus 16 GB - 522 euros Liens: http://www.amazon.de/Apple-Dualcore-Smartphone-Touchscreen-Display-Megapixel/dp/B005UEF678/ref=sr_1_1?ie=UTF8&qid=1323161356&sr=8-1 http://www.amazon.de/Samsung-Smartphone-Touchscreen-Megapixel-titanium-silber/dp/B005Y5SE6I/ref=sr_1_1?ie=UTF8&qid=1323161367&sr=8-1
avatar denisbook | 
comme d'hab, cela n'a rien à voir avec "open source" (code source ouvert, c'est à dire disponible à ceux qui veulent l'étudier ou travailler avec) ni avec google c'est encore et toujours les constructeurs "fauchés" (qui vendent du bas de gamme, ne font pas de support et n'ont pas de compétences logicielles INTERNES) qui font n'importe quoi et les opérateurs qui en rajoutent ou encouragent. En long et en large, peu importe si on utilise linux, le logiciel libre, propriétaire, fermé, ouvert, commercial, associatif, communautaire, néo-libéral ou hippie : quand on créé le PC 2.0 sans valeur on n'obtient la même chose que le PC : du chaos anti-utilisateur.
avatar denisbook | 
concrètement : le "au pain source" n'est pas une baguette magique. C'est un formidable paradigme pour les ingénieurs et pour travailler en réseau et équipes, mais cela n'a pratiquement aucun rapport avec le produit final qu'on fournit aux utilisateurs. Dans le cas du Logiciel Libre c'est un formidable outil politique pour donner des droits aux utilisateurs. Mais c'est tout ! Ce n'est pas quelque chose qui vous "force" à faire de merveilleux logiciels. Concrètement, comme la FSF, Linus Torvalds, ibm, apple, etc l'ont démontré, on peut simultanément faire de grandes choses avec du logiciel libre/code ouvert ou du code propriétaire, ou faire des horreurs.
avatar denisbook | 
le problème, c'est que Windows, comme android, servira à créer le PC 2.0 : des machines cheaps, vendues en masse, customisés à mort par les "partenaires microsoft" (comprendre: esclaves industriels qui se fichent d'être esclave). ho bien sur, comme le Nexus de Google, y aura le windows phone de Nokia, et certainement que VOUS choisirez ceux là en connaissance de cause mais fondamentalement, c'est le même soucis, windows ou android, le but est de permettre de recréer le pc 2.0 : la soupe de machines clonées compatibles sans valeur ni support balancées à la figure par les opérateurs. Et c'est là qu'on voit que ce n'est ni la faute de windows, ni magiquement empêché par Linux: si des machines sont pourries et sources d'emmerdes pour les utilisateurs c'est par manque de volonté de l'Industrie de faire MIEUX.
avatar marcplemay | 
"open" ca doit être compris comme la possibilité d’améliorer le code (et d'en faire profiter les autres pour le cas des logiciels libres. ) Certains sans compétences requises comme l'a dit Oomu peuvent aussi pourrir le code... C'est le problème avec la liberté; tout est possible...
avatar guiz913 | 
Ha oui carrer IQ ne touche pas Apple..enfin si, mais a Cupertino ils ont dis que c'etais pas grave aprce que ce qu'il enregistre depuis presque 3ans c'est pas très important...et ha oui depuis 2 mois sur IOS5 c'est desactivable..bon c'est là depuis IOS3 mais bon...quant aux failles qui n'existent pas sur nexus one et nexus S (qui ne viennent pas "d'être commercialisés")serait comme par miracle de la faute de Google quand ça sort de leurs cercles? C'est ça? Bref personne n'est à l'abris,même pas Apple,ni Windows...Mais bon ça à l'air de faire plaisir au démunis du tantinet d'ésprit qui decident de filtrer les news et y voir uniquement ce qu'ils veulent!
avatar jewan | 
Tu dois être une victime dans ta vie non toi aussi? Tu bosses dans la même boite que Kuniz non ? :D
avatar an3k | 
@sandroid lemac C'est plus compliqué que ce que tu dis en fait :-) J'ai lu le PDF (en diagonale car manque de temps) et en gros, tu peux créer ET mettre à disposition sur le market une appli qui pourra obtenir des autorisations SANS avoir à les exposer au moment de l'installation (style accéder à Internet, aux sms, appeler des n° surtaxés...). Il s'agit d'une faille qui si elle avérée nécessite de la part de HTC ou de Samsung une réelle vonlonté de montrer qu'ils se sentent concernés. Des failles, il y en a toujours, sur tous les produits. Mais il faut les reconnaître et tout faire pour vite les combler. L'Android Market n'offre aucune garantie sur cet aspect.
avatar Billytyper2 | 
@samdroid lemac Tu es d'un incroyable mauvaise foi. Tu veux la liste des malwares ? c'est là http://www.androidpolice.com/2011/03/01/the-mother-of-all-android-malware-has-arrived-stolen-apps-released-to-the-market-that-root-your-phone-steal-your-data-and-open-backdoor/ http://arstechnica.com/open-source/news/2011/03/malware-in-android-market-highlights-googles-vulnerability.ars Et pour le cas de Charlie Miller, il a été embauché par Apple, tu crois qu'un petit personnel de validation peut se permettre de refuser un mec embauché spécialement par Apple ? Bon maintenant qu'est-ce que tu vas nous sortir encore comme connerie ?

CONNEXION UTILISATEUR