Android : des téléphones zappent sans le dire des correctifs de sécurité

Florian Innocente |

Deux chercheurs en sécurité ont constaté avec étonnement que diverses sortes de terminaux Android sautaient des mises à jour de sécurité et, dans le pire des scénarios, indiquaient à leurs propriétaires que les patch étaient installés, alors que non.

Karsten Nohl et Jakob Lell de Security Research Labs (SRL) vont détailler demain, lors la conférence Hack in the Box d'Amsterdam, les résultats de leur découverte.

SRL a étudié les firmwares de quelques 1 200 téléphones Android provenant d'une douzaine de marques, souvent très connues. Ils ont cherché à voir si toutes les mises à jour de sécurité distribuées en 2017 étaient présentes.

Ils en ont tiré un tableau qui montre que les meilleurs élèves dans leur échantillon sont Google, Sony, Samsung et Wiko. Pour ces marques, mais cela dépend des modèles, soit tous les patch sont présents soit ils ont pu en oublier 1.

Pour Xiaomi, OnePlus et Nokia, c'est entre 1 et 3 patch omis. On monte à 3 ou 4 pour HTC, Huawei, LG et Motorola. TCL et ZTE ferment la marche avec, au minimum, 4 mises à jour de sécurité ignorées.

Il s'agit là de moyennes, car dans la réalité tout dépend des téléphones. Un Samsung J5 affichait correctement les patchs présents et ceux manquants. À l'inverse, un J3 disait être à jour alors qu'il lui en manquait pas moins de 12 dont 2 très importants.

Cela peut être le fait de bugs, mais en l'absence d'une explication logique, les chercheurs soulignent l'impossibilité de se faire une idée exacte et sûre de l'état de son terminal (ils proposent une app, SnoopSnitch, qui tente de lister ce qui peut manquer).

SnoopSnitch, pour tester la présence des mises à jour de sécurité distribuées l'année dernière sur Android

À cela s'ajoutent des fabricants qui vont intentionnellement laisser croire que des mises à jour ont été installées récemment, en changeant les dates affichées, sans pour autant distribuer un quelconque correctif.

Un autre tableau montre que les smartphones équipés de puces Samsung et Qualcomm s'en sortent bien et nettement mieux que ceux motorisés par HiSilicon ou que Mediatek qui obtient la pire moyenne.

Certaines de ces failles de sécurités sont relatives aux processeurs plutôt qu'à Android. Comme dit précédemment, pour peu qu'il s'agisse de puces bon marché, les risques de ne pas avoir de correctifs de la part de leurs concepteurs sont plus élevés. D'où la mauvaise place peut-être de ces marques comme ZTE et TCL, spécialisées dans les téléphones à bas prix.

Google pour sa part pointe du doigt des téléphones qui ne respectent pas ses certifications en matière de sécurité, et qui jouent en dehors du terrain. Il y a ensuite la possibilité que la mise à jour soit absente si le composant logiciel qui devait la recevoir a été supprimé. En somme, si une fonction est vulnérable, supprimons la fonction… Ou bien la fonction en question n'était pas présente à l'origine dans la version d'Android installée.

Le travail d'explications n'est pas mince et plusieurs scénarios sont envisageables plutôt qu'un seul.

Karsten Nohl et Jakob Lell concèdent qu'il est difficile aujourd'hui sur Android de profiter d'une seule vulnérabilité pour faire ce que l'on veut avec un téléphone. Il faut bien souvent disposer de plusieurs pour arriver à ses fins. C'est une opération complexe.

Les techniques plus classiques d'ingénierie sociale (où l'on exploite la crédulité ou l'inattention des utilisateurs), de phishing ou d'apps malveillantes qui se font passer pour d'autres, inoffensives, sont parfois tout aussi efficaces et plus simples à mettre en œuvre.

Reste, qu'en laissant quelques brèches ouvertes et en laissant croire qu'elles n'existent pas, on ne fait que faciliter le travail de ceux qui entendent profiter de ces faiblesses.

Source
avatar Yoskiz (non vérifié) | 

Apple ce n’est pas que « trop cher » c’est aussi un environnement le plus sécurisé que peut le permettre l’informatique.

avatar en ballade | 

@Yoskiz

I am root

avatar iVador | 

@en ballade

Je s’appelle Root !

avatar Tomgall | 

@Yoskiz

+1

avatar Carbonized | 

Les Galaxy S et Note sont certifiés par l'ANSSI et par le département de la défense Américain.
Difficile de faire mieux niveau sécurité...
Donc pour 500-600€ il est possible d'avoir un smartphone parfaitement sécurisé.

avatar occam | 

« Google pour sa part pointe du doigt des téléphones qui ne respectent pas ses certifications en matière de sécurité, et qui jouent en dehors du terrain. »

En somme, Google s’abaisse au niveau d’argumentation de la NRA : guns don’t kill people, people kill people.
Joli.

Morceau d’anthologie à verser au dossier pour le jour où l’on me demandera pourquoi, malgré tout, j’ai encore un iPhone.

avatar fte | 

@occam

D’ici qu’on se rende compte qu’Apple fait pareil, pour économiser la batterie 🥁

avatar macinoe | 

C'est édifiant comme la catégorie "android" des articles d'iGen ne regroupe que des articles à charge avec des titres péjoratifs.

Systématiquement.

Pas étonnant que les bonnes idées en provenance de ce monde ne parviennent que des années plus tard... Quand Apple les copie.

avatar en ballade | 

@macinoe

Six ans que je suis passé du côté ‘obscure’ et jamais de soucis. Bref il faut bien s’autopersuader a plus de 1000€ le smartphone 🤫🤑

avatar TrollMan06 | 

@en ballade

Tu peux me rappeler le prix du Note 8 à sa sortie ? 😌

avatar fifounet | 

@en ballade

« Bref il faut bien s’autopersuader a plus de 1000€ le smartphone « 

Pour ma part je me demande de quoi est faite ta propre auto persuasion.. 🤔
Parce que bon, venir ici depuis des années uniquement pour répéter 2 ou 3 idées de bases jusqu’à plus soif, ça cache quoi ?

Tu penses que tu es utile ?
Tu te sens investi d’une mission ici ?

avatar user | 

@macinoe

Ça, c’est du troll de compet, madame 😏

avatar Florian Innocente | 

Commentaire à charge.

Sélection :
- L’appareil photo du Galaxy S9+ prend la tête du classement DxO
- Le Galaxy S9+ coûte un petit peu moins cher à produire que l'iPhone X
- Facebook Lite disponible en France sur Android
- Les Galaxy S9 et S9+ sont officiellement commercialisés
- Google Play Instant : des jeux disponibles sans téléchargement sur Android
- Samsung proposera un SAV rapide aux États-Unis
- Android est le meilleur
- Android est le plus gentil

avatar macinoe | 

Désolé, moi quand je regarde votre page d'accueil section android, je vois que dans le monde android, ils ont des téléphones non sécurisés et qu'ils passent leur temps à essayer de copier la belle encoche de l'iPhoneX ( pas moins de 4 articles à suivre sur le sujet )

La subjectivité est votre droit, nier l'être est déjà moins élégant.

Je regrette simplement votre absence de curiosité intellectuelle qui vous fait passer, je pense, à côté de nombreux sujet passionnant qui concerne directement votre activité.

Désolé mais lire iGen pour être informé de l'actualité tech hors Apple, c'est un peu comme lire sputnik pour être informé de l'actualité occidentale.

Je ne crois pas que ça vous grandi.

Et si c'est si difficile que ça pour vous, abstenez-vous tout simplement.

avatar user | 

@macinoe

Et c’est qui le donneur de leçons, méprisant planqué derrière son écran ?

Vous proposez quoi à la communauté à pars lui faire part de la bile qui coule de votre cerveau ?

Vous animez un site objectif est bien foutu qui a pignon sur rue, vous êtes une référence en matière de curiosité intellectuelle ?

Qu’est-ce qui vous grandi dans ce post ?

Si vous n’êtes pas d’accord avec MacGé, vous avez le droit, personne ne vous force à y venir...

Vos brillantes interventions ne vont manquer à personne chez Sputnik...

Il est temps de pouvoir un peu se passer des trolls ici aussi 😏

avatar fifounet | 

@macinoe

« Je ne crois pas que ça vous grandi.

Et si c'est si difficile que ça pour vous, abstenez-vous tout simplement »

Quand je constate cette susceptibilité démesurée face à la critique android je me pose des questions sur certains ici ...

Certains feraient mieux de s’indigner et de prôner la censure sur des sujets plus grave..

Bizarre cette nature humaine

avatar Florian Innocente | 

« Je regrette simplement votre absence de curiosité intellectuelle qui vous fait passer, je pense, à côté de nombreux sujet passionnant qui concerne directement votre activité. »

Genre ? (2 ou 3 exemples, par curiosité, pour voir vers quoi ces sujets tendraient).

avatar Nesus | 

@macinoe

C’est quoi, les bonnes idées ? Parce que j’en utilise un régulièrement pour le boulot, un Motorola G5+, et j’en trouve pas de bonnes idées. Je vois des trucs mal fichus, mal pensés, à foison, créant un bordel monstre parce que personne n’a voulu trancher à un moment. Tout ça pour pouvoir soit disant personnaliser.
Quand au fait qu’Apple vole... comment dire, Android est à la base une copie d’iOS. Et pour une bonne idée qui vient d’android (souvent mal fichue qui plus est et bien réintégrée dans iOS) il y en a 15 piquées. Donc bon...

Ceux qui ont le plus contribué aux changements des os, ce sont les développeurs d’app tierce, qui se font piller allègrement. Et c’est de là que sont venues les meilleures idées. Et donc mécaniquement, c’est du côté d’Apple que ça se passe. Parce que développer sur Android, c’est faire du bénévolat.

Je parle même pas des bugs, parce qu’on vous voit à longueur de news chaque fois qu’un truc merde sur iOS nous expliquer combien Apple est fini. Par contre, je vois jamais personne nous expliquer la pléthore d’android.
Exemple : le déverrouillage de l’écran qui ne déverrouille pas. Le partage de connexion qui indique que c’est partagé alors que non, l’interface qui se barre hors de l’écran...

avatar dorninem | 

@Nesus

C'est vrai que le déverrouillage par empreinte digitale entre monnS7 edge pro et pin iPhone 7 plus y a pas photo 😬
Le nombre de fois que j'ai message 'tentative de déverrouillage échouée. Encore x essais avant ré initisation' (policy de sécurité)
Le problème est que souvent les gens qui critiquent n'utilisent pas les deux mondes donc vision réduite et forcément partisane.
Niveau interface l'ajout de Microsoft Arrow Launcher sur Android permet d'avoir quelque chose à peu près utilisable, c'est forcément un avis perso

avatar Ze_misanthrope | 

@Nesus

Tu te rends compte de ton poste complètement subjectif et qui est l'illustration même de ce pourquoi les fans Apple ont mauvaise réputation...

Quand je lis ce genre de torchon, je me demande je me demande si au final tu n'es pas un Apple Hater qui veut faire diminuer la crédibilité des utilisateurs de la pomme.

avatar Nesus | 

@Ze_misanthrope

Ça existe un poste non subjectif ? Ça fait des années que je suis sur les deux plates formes. J’ai fait HTC désir, Sony Xperia, Nokia (Windows phone), Samsung A3 et donc moto G5. En utilisation quotidienne en pro.
Mon beau frère m’a fait tester tous les nexus.

Parallèlement en perso j’ai fait iPhone 4, 4S, 5S, 6S, 7 et 10.

Donc je pense que même subjectivement, mon avis est loin d’être partisan. Mais bon si la vérité vous gêne et que pour ne pas passer pour un fanboy d’Apple il faut forcément dire qu’android est génial et toujours en avance, alors, je suis fanboy d’Apple. Et non, chaque fois que je dis qu’il y a un paquet de merde dans Android, je ne suis absolument pas obligé de contre balancer par ce qui ne va pas dans iOS. Je suis pas là pour compter des points.

avatar byte_order | 

> Je suis pas là pour compter des points.

En fait si, mais que ceux d'un seul camp.
Normal, quoi, pour un supporter.

Je ne réagirais pas à plus, sauf ça :
> Et c’est de là que sont venues les meilleures idées. Et donc mécaniquement,
> c’est du côté d’Apple que ça se passe. Parce que développer sur Android,
> c’est faire du bénévolat.

Parce que pour avoir des super idées, il faut être payé sinon c'est pas possible !?

avatar Ze_misanthrope | 

Ecoute Nesus, si tu n'assumes pas tes conneries, c'est ton probleme...

Pourquoi inventer que du dev Android c'est du bénévolat? C'est juste pour satisfaire ta méchanceté gratuite? Je gere des développeurs Android, Web et iOS, et je ne vois pas de grosses différences de salaires ou de projets, mais tu vas surement m'expliquer ton point de vue?

ET ton petit discours avec Apple qui invente tout, et les autres qui copient, c'est gentil tout plein, mais on est plus en 2007-2010 ou c'était vrai. Regarde un peu tes notifications face au vieux popup bleu, la manière dont tu transferes tes fichiers, iCloud, le multitache, si tout n'est pas copié, je ne sais pas de quoi tu parles

Oui Apple a fait sa belle révolution en 2007, mais maintenant c'est un fabricant de téléphones comme les autres.

avatar user | 

@Ze_misanthrope

Il porte bien son nom le troll de base 😏

Forcément au jeu de qui à la plus longue et qui à inventé quoi, ça peut durer longtemps...

A part des échanges stériles et méprisants, vous avez une contribution au débat autant utile que bienveillante, sinon ?

Tranquillisez vous, le matériel que vous utilisez est le meilleur du monde, y’a pas photo...

avatar Ze_misanthrope | 

Et voilà le fanboy typique qui donne mauvaise réputation aux supporters de la pomme, merci d'être venu.

Je réagis à un mec sans aucune estime du dev Android qui dit que faire du dev Android c'est du bénévolat, je lui explique que travaillant comme responsable d'équipe de dev iOS, Web et Android, les différences de salaire son ancdotiques et le voilà qui me traite de troll et me parle direct de meilleur téléphone du monde.

Comment voulez vous que je change d'avis et que mon estime de vous remonte?

avatar user | 

@Ze_misanthrope

Et en plus il ne sait pas lire 😏

Votre bienveillance et votre contribution au débat sont hautement estimables, à n’en point douter.

Donc pour avoir votre estime il faudrait donc penser comme vous ?

Il y a donc les « Fan boy » et les autres, dans votre esprit éclairé, ça en dit long sur votre ouverture d’esprit...

Vous êtes dans le coin pour définir à qui donner votre estime ou pas ?

C’est super interessant 😊

avatar fifounet | 

@user

« Il y a donc les « Fan boy » et les autres, dans votre esprit éclairé, ça en dit long sur votre ouverture d’esprit... »

C’est exactement ça.
Les fanboys et les autres.
En venant ici ou la probabilité d’en trouver et très forte il se réconforte pour ne surtout pas changer d’avis.

Un peu comme on allait dans une prison pour se conforter dans son opinion qu’il y a un trop fort taux de délinquance en France.

avatar fifounet | 

@Ze_misanthrope

« Comment voulez vous que je change d'avis et que mon estime de vous remonte? »

Je ne pense pas que tu veuilles réellement changer d’avis sur tes préjugés.
C’est bien pour ça que tu viens entretenir ton jugement faussé en venant ici lire les commentaires qui t’arrangent et te rassurent dans ton opinion soit disant réfléchie.

avatar ddrmysti | 

Bah en fait, les fan apple ont mauvaise réputation surtout aux yeux de ceux qui beuglent à qui veut bien l'entendre que tous ceux qui n'achètent pas le même androphone qu'eux sont des attardés décérébrés victime du marketing et qui n'y connaissent rien. Sorti de là, les gens globalement s'en branlent. A coté de ça, t'as des sites comme frandroid qui ne se privent pas d'insulter ouvertement les utilisateurs de produits apple, et qui sont persuadé d'être objectif et d'avoir bonne réputation ;)

avatar ddrmysti | 

Quand un fanboy android te dit qu'android le fait déjà, faut lire entre les lignes "il y a une surcouche ou un bricolage sur android qui fait plus ou moins la même chose". Forcément quand t'as des dizaines de constructeurs et des centaines de dev indépendant qui bossent chacun de leur coté t'as forcément une bonne idée par ci par là. Par contre globalement, les bonnes idées natives d'android qui ne sont pompées ni sur la concurrence, ni sur le travail d'un tiers, il n'y en a pas des masses. Mais l'objectivité des androuser les pousses à intégrer tout ce qui est fait autourd'android dans android.

avatar Ze_misanthrope | 

Merci de confirmer la pensée, c'est génial à lire !

avatar ddrmysti | 

Tant que tu tourneras en rond dans ton enclos, quoi qui se passe, tu verras toujours la même chose...
La question à se poser c'est pourquoi un mec qui semble avoir une si mauvaise opinion d'apple et de ses utilisateurs passe autant de temps sur les sites apple. Parce qu'a force de tourner en rond dans son enclos il ne voit qu'une seule et unique chose sans se rendre compte de ce qu'il est...

avatar Ze_misanthrope | 

J'ai une très bonne opinion d'Apple, juste le fait de ne pas le classer au dessus de tout le monde me fait passer pour un hater.

J'ai un iMac 27'' et un iPhone 6S ce site ne permet de me tenir au courant de l'actualité des OS des deux engins.

Ici j'ai réagia sur le post d'un abruti qui dénigre les développeurs Android par pure méchante... Et voilà la déferlante des défenseurs de la pomme sans jugement.

Aucun de vous ne réagi face à une personne qui sous entend que les développeurs Android ne font rien pour subvenir aux besoins de leur famille comme ils sont bénévoles, par contre pour me sauter dessus juste parceque l'iPhone n'est pas le meilleur téléphone du monde on se bouscule

avatar ddrmysti | 

Non, la raison qui te fait passer pour un hater c'est ta tendance à constamment cracher à la gueule des apple user en distordant certaines réalités.

Mais on ne s'attend pas à ce qu'un mec comme toi se rende compte de certaines réalité, ça fait des année qu'on se coltine ce genre de boulets ici ou ailleurs, on sait que votre cas est désespéré ;)

avatar Ze_misanthrope | 

En fait tu n apportes aucun argument, tu dis que je fabule et hop le débat est clos. Aucun argument.
C'est très enrichissant ici :-)

avatar fifounet | 

@Ze_misanthrope

« Ici j'ai réagia sur le post d'un abruti qui dénigre les développeurs Android par pure méchante... »

La est ton problème , l’exagération dans tes propos , tu te permet de traiter un inconnu d’abruti, carrément, juste parce qu’il dit que développer sur android c’est du bénévolat et qu’on critique ce système.
Tu critiques iOS toi avec ton expérience !
Admet que d’autres n’aient pas la même expérience d’android que toi et qu’ils critiquent.
Non tu n’as pas la vérité absolue , loin de la , juste la tienne , grâce à ta propre expérience qui n’est pas universelle !! Reste humble tu seras plus crédible.

« Et voilà la déferlante des défenseurs de la pomme sans jugement. »

Voilà maintenant la facilité qui te fait croire que la critique envers toi et tes commentaires n’en ai pas vraiment une mais vient de personnes illuminées qui n’acceptent pas la critique de la pomme. Et que donc on ne te critique pas pour toi mais juste par susceptibilité, trop facile ..,
Tu en fait trop tu amalgames à outrance
Voilà ton problème.
Et ça te vaut que plusieurs te tombent dessus
N’essaie pas de nous faire croire qu’on est juste des débiles fanatiques pour minimiser nos critiques envers toi.

Tu te caches derrière ça pour éviter de te remettre, même un peu , en question.
Non, quand on te contre c’est uniquement pour TES propos et surtout TA façon de les faire passer. Aucun rapport avec le fait défendre la pomme. Tu restes trop sur ton piédestal.

« Aucun de vous ne réagi face à une personne qui sous entend que les développeurs Android ne font rien pour subvenir aux besoins de leur famille comme ils sont bénévoles,»

C’est quoi ce délire ?
Tu sais ce qu’est un bénévole ???
Tu peux très bien faire du bénévolat et bosser à côté !! Tu essayes d’aggraver le propos de façon extrême et malhonnête.
T’es grave toi 🤪

« par contre pour me sauter dessus juste parceque l'iPhone n'est pas le meilleur téléphone du monde on se bouscule »

Paranoïa quand tu nous tiens

avatar Ze_misanthrope | 

On va refaire simple.

Je trouve blessant le propos du personnage envers les devs Android. Pour en gérer une équipe, ainsi que des devs iOS, je trouve son propos déplacé.

Je trouve aussi le propos de l'autre zozo qui dit que l'OS Android n'a apporté aucune addition technologique intéressante et seul Apple le fait un peu irréaliste, je suis technophile, m'intéresse à tous les OS aussi bien de distribs Linux à Mac OS en passant par Windows Phone à l'époque. Son propos est non factuel.

Aussi c'est dommage d'avoir des propos comme quoi je déteste Apple, alors que j'essaye juste de réagir dans le moments où il est idéalisé et n'ai jamais (ou alors, erreur de ma part, Merci de me lier à un post au c'est vrai) dénigré Apple ou critiqué par méchanceté comme je lis ici.

Au pire une remarque sur les notifications qui sont restées des années un popup bleu avant de copier la concurrence, je pense que c'est ma seule critique des derniers mois, et encore, elle me semble justifiée comme petite pique.

Est ce que cette reformulation te va ? Tu vas mieux en dormir ?

avatar Ze_misanthrope | 

Sinon n'hésite pas à monter ou je critique Apple sans relâche car j'ai du mal à trouver, je viens de relire mes posts comme tu n'as mis un doute.

À part répéter que c'est un fabricant comme les autres avec de bonnes idées et des mauvaises, et qu'il n'est pas mieux qu'un Pixel je ne trouve pas cela la critique dont tu fais allusion.

avatar BetterCallTim | 

Quoi qu’il en soit, merci à ceux qui recherchent ce genre de dérives car, si sur ce forum les gens sont passionnés de technologies et donc prêt à débourser de grosses sommes (produits Apple) pour s’équiper, la plupart des gens ne débourse pas plus de 500€ dans un smartphone et sont donc exposés.

avatar Ze_misanthrope | 

Heuu l'article montre justement qu'il y a des téléphones à moins de 500 Euros avec les mises à jour de sécurité.

Pourquoi ne lire que la partie qui t'intéresse?

avatar BetterCallTim | 

@Ze_misanthrope

Bien sûr qu’il y a des smartphones a moins de 500€ parfaitement sécurisés, en revanche il faut s’y connaître un peu pour choisir des marques bonnes élèves ou lire ce genre d’étude, voilà le sens de mon poste..

avatar byte_order | 

@BetterCallTim
> la plupart des gens ne débourse pas plus de 500€ dans un smartphone et sont donc exposés.

Le "donc" est faux. Il n'y a pas de lien direct entre le prix et le taux d'exposition.

avatar BetterCallTim | 

@byte_order

Vous avez raison, il y a un lien entre les différents constructeurs et le prix des smartphones à 500€. Pardon de ne pas avoir détaillé le syllogisme.

avatar koko256 | 

C'est mignon l'ingénierie social (mais efficace), mais le faire à grande échelle reste difficile. Le phising passe à l'échelle mais n'est pas discret. Alors que l'exploitation de faille peut être discret et passer à l'échelle.

CONNEXION UTILISATEUR