Ouvrir le menu principal

iGeneration

Recherche

Android : des téléphones zappent sans le dire des correctifs de sécurité

Florian Innocente

jeudi 12 avril 2018 à 22:00 • 44

Android

Deux chercheurs en sécurité ont constaté avec étonnement que diverses sortes de terminaux Android sautaient des mises à jour de sécurité et, dans le pire des scénarios, indiquaient à leurs propriétaires que les patch étaient installés, alors que non.

Karsten Nohl et Jakob Lell de Security Research Labs (SRL) vont détailler demain, lors la conférence Hack in the Box d'Amsterdam, les résultats de leur découverte.

SRL a étudié les firmwares de quelques 1 200 téléphones Android provenant d'une douzaine de marques, souvent très connues. Ils ont cherché à voir si toutes les mises à jour de sécurité distribuées en 2017 étaient présentes.

Ils en ont tiré un tableau qui montre que les meilleurs élèves dans leur échantillon sont Google, Sony, Samsung et Wiko. Pour ces marques, mais cela dépend des modèles, soit tous les patch sont présents soit ils ont pu en oublier 1.

Pour Xiaomi, OnePlus et Nokia, c'est entre 1 et 3 patch omis. On monte à 3 ou 4 pour HTC, Huawei, LG et Motorola. TCL et ZTE ferment la marche avec, au minimum, 4 mises à jour de sécurité ignorées.

Il s'agit là de moyennes, car dans la réalité tout dépend des téléphones. Un Samsung J5 affichait correctement les patchs présents et ceux manquants. À l'inverse, un J3 disait être à jour alors qu'il lui en manquait pas moins de 12 dont 2 très importants.

Cela peut être le fait de bugs, mais en l'absence d'une explication logique, les chercheurs soulignent l'impossibilité de se faire une idée exacte et sûre de l'état de son terminal (ils proposent une app, SnoopSnitch, qui tente de lister ce qui peut manquer).

SnoopSnitch, pour tester la présence des mises à jour de sécurité distribuées l'année dernière sur Android

À cela s'ajoutent des fabricants qui vont intentionnellement laisser croire que des mises à jour ont été installées récemment, en changeant les dates affichées, sans pour autant distribuer un quelconque correctif.

Un autre tableau montre que les smartphones équipés de puces Samsung et Qualcomm s'en sortent bien et nettement mieux que ceux motorisés par HiSilicon ou que Mediatek qui obtient la pire moyenne.

Certaines de ces failles de sécurités sont relatives aux processeurs plutôt qu'à Android. Comme dit précédemment, pour peu qu'il s'agisse de puces bon marché, les risques de ne pas avoir de correctifs de la part de leurs concepteurs sont plus élevés. D'où la mauvaise place peut-être de ces marques comme ZTE et TCL, spécialisées dans les téléphones à bas prix.

Google pour sa part pointe du doigt des téléphones qui ne respectent pas ses certifications en matière de sécurité, et qui jouent en dehors du terrain. Il y a ensuite la possibilité que la mise à jour soit absente si le composant logiciel qui devait la recevoir a été supprimé. En somme, si une fonction est vulnérable, supprimons la fonction… Ou bien la fonction en question n'était pas présente à l'origine dans la version d'Android installée.

Le travail d'explications n'est pas mince et plusieurs scénarios sont envisageables plutôt qu'un seul.

Karsten Nohl et Jakob Lell concèdent qu'il est difficile aujourd'hui sur Android de profiter d'une seule vulnérabilité pour faire ce que l'on veut avec un téléphone. Il faut bien souvent disposer de plusieurs pour arriver à ses fins. C'est une opération complexe.

Les techniques plus classiques d'ingénierie sociale (où l'on exploite la crédulité ou l'inattention des utilisateurs), de phishing ou d'apps malveillantes qui se font passer pour d'autres, inoffensives, sont parfois tout aussi efficaces et plus simples à mettre en œuvre.

Reste, qu'en laissant quelques brèches ouvertes et en laissant croire qu'elles n'existent pas, on ne fait que faciliter le travail de ceux qui entendent profiter de ces faiblesses.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Les développeurs de Wheels of Aurelia reprochent à Apple de supprimer leur jeu de l'App Store 🆕

11:26

• 38


N26 lance son service d'eSIM de voyages dans 24 pays

11:17

• 1


iPhone 17 Pro : un écran antireflet au bout du compte ?

10:12

• 12


Ce que vos données disent de vous... et de vos proches 📍

08:56

• 0


Google présentera les Pixel 10 le 20 août 2025

08:02

• 9


Promo : un chargeur allume cigare de 60 W pour trois appareils à 17 € au lieu de 28

16/07/2025 à 23:12

• 10


Google lance aux USA un chatbot appelant les professionnels pour vous, aidant ainsi les phobiques du téléphone

16/07/2025 à 21:15

• 21


Test du PlugBug 120 W : un chargeur de voyage qu’on n’oublie pas grâce à Localiser

16/07/2025 à 20:30

• 23


Promo : l'iPhone 16e entre 520 et 639 € au lieu de 719 €

16/07/2025 à 17:40

• 4


Une app de conseil de drague par IA fait fuiter plus de 160 000 conversations privées

16/07/2025 à 17:20

• 9


Le Flipper Zero peut pirater les réseaux Thread

16/07/2025 à 16:48

• 4


iPhone 17 : la future palette de couleurs déjà dans la nature ?

16/07/2025 à 16:19

• 25


À moins de 600 € l'iPhone 16e a peut-être trouvé son public

16/07/2025 à 15:00

• 28


Certains iPhone pourraient être interdits de vente aux États-Unis à la suite d'un litige [🆕 : Apple dément tout risque]

16/07/2025 à 14:51

• 18


L'iPad mini A17 Pro à 550 € en promotion, et une belle réduction aussi sur le modèle 512 Go

16/07/2025 à 14:42

• 14


Quel petit forfait à 2 € choisir chez les grands opérateurs

16/07/2025 à 11:06

• 22