Kryptowire, une entreprise spécialisée dans la cybersécurité, a révélé la présence de plus de 140 failles de sécurité sur des applications préinstallées dans les smartphones Android. Ces dysfonctionnements représentent une grande menace pour les données personnelles des utilisateurs, et mettent au jour un véritable problème des appareils Android.

146 vulnérabilités chez 26 fabricants Android

Ce nouveau rapport fait froid dans le dos. Kryptowire a ainsi détecté pas moins de 146 bugs sur les applications préinstallées de 26 marques de téléphones Android, parmi lesquelles Asus, Cubot, Xiaomi, Samsung ou encore Sony. Les applications touchées peuvent secrètement enregistrer des audios, changer les paramètres du téléphone, ou encore envoyer des données clandestinement.

“Nous voulions voir à quel point il était facile pour quelqu’un de pénétrer dans l’appareil sans que l’utilisateur n’ait téléchargé l’application”, a expliqué Angelos Stavrou, PDG de Kryptowire. “Si le problème vient de l’appareil, cela signifie que l’utilisateur n’a aucune option. Le code est profondément ancré dans le système, donc l’utilisateur ne peut, dans la plupart des cas, rien faire pour supprimer la fonctionnalité touchée”, a-t-il continué.

Les types de failles détectés

Les types de failles détectés © Kryptowire

Un problème de grande ampleur propre à Android

Ce n’est pas la première fois que Kryptowire pointe du doigt un tel problème sur les appareils Android. En 2018 déjà, la firme révélait la présence de vulnérabilités inquiétantes sur 10 smartphones. Cette année, le nombre est bien plus conséquent car Kryptowire a utilisé un nouvel outil qui scanne les firmwares sans avoir besoin du téléphone.

Mais pourquoi les appareils Android sont-ils aussi vulnérables ? Maddie Stone, chercheuse en sécurité chez Google, expliquait cet été dans un rapport à ce sujet qu’un appareil Android compte en moyenne entre 100 et 400 applications préinstallées. En fait, la majorité de ces applications n’ont pas été développées par la marque qui a fabriqué le smartphone, mais par des entreprises tierces qui fournissent le code pour certaines tâches complexes de l’appareil, tâches qui possèdent un rôle important dans plusieurs fonctionnalités, comme les paiements par exemple.

Comme le note le média Wired, les fabricants, et cela compte les grandes marques également, ne sont pas assez bien équipés pour analyser ces applications et ainsi détecter les risques potentiels. Elles sont en outre difficiles à détecter pour les utilisateurs, et en plus de ne bénéficier que très rarement de mises à jour, il est souvent impossible de les supprimer du téléphone.

Les marques touchées par le problème

Les marques touchées © Kryptowire

Que fait Google ?

Selon Angelos Stavrou, le problème vient également des marques qui ne collaborent pas du tout entre elles et favorisent le petit prix de leur appareil sur le marché au détriment de la qualité des logiciels qui le composent. Google est bien entendu au courant de ces failles importantes. Le géant de la tech possède d’ailleurs son propre outil, appelé Build Test Suite, afin de détecter des failles sur les applications installées par défaut. Lancé en 2018, il a déjà décelé 242 problèmes similaires. Néanmoins, le rapport de Kryptowire prouve que ce système est loin d’être infaillible…

“Nous apprécions le travail de la communauté de chercheurs qui collaborent avec nous pour résoudre et divulguer de manière responsable des problèmes comme celui-ci”, a ainsi déclaré Google. Une chose est sûre, l’entreprise doit encore s’améliorer pour endiguer un problème d’une ampleur colossale, qui touche une grande partie des appareils Android du marché.