Android : des failles dès l’ouverture de la boite

Sécurité : Les chercheurs de la société Kryptowire ont profité de l’ouverture de la conférence Defcon pour publier le résultat de leurs recherches sur la sécurité des smartphones Android. Ils expliquent avoir découvert des failles de sécurité dans 25 téléphones tout juste sortis d’usine.


On aurait naturellement tendance à faire confiance à un smartphone neuf, tout juste sorti d’usine. Mais comme le montrent les chercheurs de la sécurité Kryptowire, un malheur est bien vite arrivé : selon les résultats de leur étude publiée à l’occasion de la conférence Defcon, de nombreux smartphones Android contiendraient des failles de sécurité importantes dès leur sortie d’usine, avant même que l’utilisateur ait le temps d’interagir avec l’appareil comme le rapporte CNet.com.



La faute n’est pas ici du côté de Google, mais plutôt de l’écosystème des constructeurs qui modifient la build d’Android afin d’y ajouter leurs propres programmes. Les chercheurs de Kryptowire se sont penchés sur des téléphones neufs afin d’évaluer le nombre de failles de sécurité que contiennent ces applications ajoutées par les constructeurs. Sur 25 téléphones étudiés, les chercheurs sont parvenus à isoler 38 failles de gravité variable. Les téléphones en question sont commercialisés par plusieurs acteurs bien connus : Asus, ZTE ou encore LG. Il s’agit ici de failles de sécurité, qui doivent par la suite être exploitées par un logiciel malveillant pour parvenir à exécuter du code ou à intercepter des communications.

La sécurité sur Android, un vaste débat
Les différentes failles découvertes peuvent permettre à un attaquant d’exploiter le téléphone de diverses manières : l’Essential Phone contient par exemple une faille de sécurité permettant de forcer un retour aux paramètres d’usine sur le téléphone de la cible en exploitant une application préinstallée contenant le fichier « com.ts.android.hiddenmenu. » Celui-ci peut être accédé par n’importe quelle application installée sur le téléphone de la cible et forcer un retour aux paramètres d’usine. D’autres failles découvertes sur les téléphones examinés permettent d’installer des applications à l’insu de l’utilisateur, de récupérer les mots de passe du réseau WiFi, d’intercepter les messages ou d’installer un keylogger sur l’appareil.

Les différents constructeurs concernés par les découvertes des chercheurs de Kryptowire ont été contactés et ont pour la plupart publié des correctifs visant à combler les failles découvertes.

Le problème reste pourtant d’actualité : le modèle retenu par Google pour Android laisse la porte ouverte à de nombreux constructeurs qui ajoutent et modifient l’OS mobile. C’est ce qui a permis à Android de prendre aujourd’hui une place majeure dans le monde du mobile, mais c’est aussi à l’origine de nombreux problèmes de sécurité. Google tente de resserrer le contrôle et de forcer les constructeurs à appliquer plus rapidement les patchs, mais la tâche est loin d’être aisée et l’étude menée par Kryptowire montre que l’ajout d’applications par les constructeurs peut aussi être une source de problèmes de sécurité.