fbpx

De nombreux appareils Android sont livrés avec des vulnérabilités de micrologiciel, selon les chercheurs

Asus, Essential, LG et ZTE se sont tous engagés à corriger les failles de sécurité trouvées par la société de sécurité mobile Kryptowire, selon Wired. Les recherches du cabinet visaient à souligner que certaines effondrements de sécurité résultent du code écrit par les compagnies de téléphone pour modifier Android.

Les chercheurs ont trouvé des bogues dans le micrologiciel de 10 appareils distincts transportés par les principaux transporteurs américains, selon Wired, qui a vu une première version du rapport de Kryptowire. Les failles de sécurité peuvent amener tout un attaquant à verrouiller une personne sur son appareil, à prendre le contrôle de son microphone et plus encore – bien que la plupart des attaques détaillées par les chercheurs aient obligé les utilisateurs à télécharger une sorte d’application malveillante des trous présents dans le firmware. Leur recherche, financée par le Department of Homeland Security, est présentée aujourd’hui à la conférence de sécurité de Black Hat USA.

Selon Kryptowire, ces vulnérabilités proviennent de la nature ouverte d’Android, qui permet à des tiers de modifier le code et de modifier les interférences ou de créer des versions complètement différentes d’Android. Cependant, comme les chercheurs l’ont découvert, ce système de style ouvert peut également entraîner des lacunes dans la sécurité des téléphones. Wired dit que la recherche considère ces défauts comme un problème endémique à Android.

« Un grand nombre de personnes dans la chaîne d’approvisionnement veulent pouvoir ajouter leurs propres applications, personnaliser, ajouter leur propre code », a déclaré le directeur général de Kryptowire, Angelos Stavrou, à Wired. « Cela augmente la surface d’attaque et augmente la probabilité d’erreur du logiciel. »

Un exemple particulièrement mauvais a été trouvé dans le smartphone Asus Zenfone V Live. Selon Wired, Kryptowire a trouvé suffisamment de trous dans son code pour exposer les utilisateurs à une prise de contrôle complète de leur appareil – des captures d’écran et des enregistrements vidéo pouvaient être lus et changés. Asus a déclaré qu’il était « conscient des problèmes de sécurité récents » et qu’il « travaillait avec diligence et rapidité pour les résoudre » avec un correctif.

Essential, LG et ZTE ont tous répondu à Wired avec des déclarations disant qu’ils avaient résolu tout ou partie des problèmes identifiés par Kryptowire après avoir été alertés par l’entreprise. Il est toutefois difficile de savoir si ces correctifs ont été déployés pour tous les utilisateurs, car seul AT & T a confirmé avoir déployé l’une de ces mises à jour. Et comme les chercheurs le soulignent, ce processus de mise à jour est lui-même cassé pour beaucoup, avec des mises à jour souvent longues à mettre en place et à faire passer aux utilisateurs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *