[Brève] Des failles encore présentes dans les Android dès leur ouverture

Mobile

<p>L'éditeur de sécurité Kryptowire a dévoilé une liste de 25 appareils Android contenant 38 failles dans les applications pré-installées. Ces applications ne sont pas du fait de Google ni d'Android, mais bien des applications des constructeurs et des opérateurs qui les préinstallent. Ces failles permettent la prise de contrôle de l'appareil et des données.</p>

La sécurité des smartphones Android reste une préoccupation pour Google, les constructeurs et les opérateurs. Si Google a pris le pli des mises à jour de sécurité, en se calquant sur la méthode Windows Update (1 pack de mises à jour tous les mois), les constructeurs d'appareils Android et les opérateurs ne sont pas exempts de responsabilité.

Depuis le début d'année, plusieurs éditeurs de sécurité ont signalé des appareils Android vérolés, même lors de la première utilisation : 40 modèles de smartphones détectés par l'éditeur Dr Web et 18 000 modèles d'appareils par Avast. Le plus souvent, les constructeurs pré-installent une version spécifique d'Android dans leurs appareils avec des applications pré-installés, les applications du constructeur et/ou de l'opérateur, dont certaines sont vérolées.

En début de la conférence DEFCON de Las Vegas, une importante conférence des hackers se déroulant à Las Vegas, l'éditeur Kryptowire a présenté une étude sur la présence de failles dans les smartphones sorties de leurs emballages. Les appareils reçoivent des mises à jour pour leur Android, mais certaines gardent encore des failles. En effet, les failles ne viennent pas d'Android, lui-même, ni des applications Google qui reçoivent des mises à jour dès la première connexion au Google Play Store, mais des applications pré-installées par les constructeurs et les opérateurs, dont certains ne mettent pas à jour les applications déjà existantes.

Certaines failles permettent d'installer des applications sans demande de permissions à l'utilisateur, d'autres peuvent accéder aux logs du modem ou du système, permettent l'accès et la modification des SMS/MMS, permettent la capture d'écran sans intervention de l'utilisateur et d'autres permettent de bloquer le déverrouillage de l'appareil par l'utilisateur (pas de basculement sur la demande du code (PIN, mouvement ou reconnaissance digital ou faciale) avec l'appui sur le bouton home ou glissement vers le haut). Les différents modèles peuvent avoir une ou plusieurs des failles détectées.

Les modèles concernés par la découverte de Kryptowire sont : l'Alcatel A30, ASUS ZenFone 3 Max et ZenFone V Live, Coolpad Defiant, Canvas et Revvl Plus, Doogee X5, Essential Essential 1, Leagoo P1 et Z5C, LG G6, MXQ TV Box, Nokia 6, Oppo F5, Orbic Wonder, Plum Compass, Sky Elite 6.0L+, Sony Xperia L1, Vivo V7, ZTE Blade Vantage, Blade Spark, ZMax Champ et ZMax Pro. Tous les modèles ne sont pas vendus en FRance, certains sont probablement vendus sous la marque d'un opérateur ou d'un distributeur

Commentaires