Vous avez toujours cru que la sécurité était la priorité de votre fabricant de smartphone ? Détrompez-vous. De nombreux appareils Android sont livrés aujourd’hui avec des vulnérabilités dans leur firmware.
Il s’agit là de la principale conclusion d’une étude de la société de sécurité mobile Kryptowire, qui détaille les bugs inquiétants sur 10 appareils vendus par les principaux opérateurs américains. Le PDG de Kryptowire, Angelos Stavrou, et le directeur de la recherche, Ryan Johnson, présenteront d’ailleurs ses résultats lors de la conférence sur la sécurité de Black Hat ce vendredi.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les conséquences de la faille ? Cela va du simple fait de verrouiller une personne sur son appareil à prendre le contrôle du microphone ou à d’autres fonctions plus élaborées. Ces modifications entraînent également des soucis de retards dans la réception des mises à jour de sécurité. Ils peuvent provoquer des bugs du firmware qui mettent les utilisateurs en danger.
Selon Kryptowire, ces vulnérabilités proviennent de la nature ouverte d’Android, qui permet à des tiers de modifier son code ou de créer des versions complètement différentes du système.
En mai 2018, Asus, Essential, LG et ZTE se sont tous engagés à corriger ces failles après l’alerte donnée. Mais qu’en pense Kryptowire ?
« Le problème ne va pas disparaître, car beaucoup de personnes dans la chaîne d’approvisionnement veulent pouvoir ajouter leurs propres applications, personnaliser, ajouter leur propre code. Cela augmente la surface d’attaque et augmente la probabilité d’erreur logicielle, » déclare Stavrou.
Un exemple particulièrement inquiétant a été trouvé dans le smartphone Asus Zenfone V Live. Selon Wired, Kryptowire a trouvé suffisamment de “trous” dans son code pour exposer les utilisateurs à une prise de contrôle totale de l’appareil.
À ce stade, Asus a indiqué souhaiter faire le maximum pour nettoyer les dégâts qu’il a causés, mais Stavrou questionne l’efficacité du processus de correction. « L’utilisateur doit accepter le patch. Donc, même s’ils l’envoient au téléphone, vous n’acceptez peut-être pas la mise à jour, » explique-t-il. Il note aussi que sur certains des modèles testés par Kryptowire, le processus de mise à jour lui-même était rompu.