Android : 146 vulnérabilités de firmware dans les smartphones de 29 fabricants

Le par  |  8 commentaire(s)
android-google-play-protect

Une nouvelle mise en lumière des problèmes de sécurité avec les firmwares et les applications préinstallées sur des smartphones Android. Un rapport de Kryptowire porte sur 146 vulnérabilités avec 29 fabricants.

Dans le cadre d'une recherche financée par le département de la Sécurité intérieure des États-Unis, Kryptowire a découvert 146 vulnérabilités de firmware dans les smartphones neufs de 29 fabricants. L'accent a été mis sur l'exposition à des menaces dite " prépositionnées " avec des appareils Android vendus par des opérateurs aux États-Unis. Néanmoins, Kryptowire souligne que ses résultats concernent les appareils dans le monde entier.

La mise au jour des vulnérabilités a eu lieu via un outil qui analyse les firmwares de manière automatisée sans un accès physique à l'appareil et pour l'obtention de données permettant de générer des preuves de concept. Des exploits peuvent ainsi être testés.

L'exposition à des menaces est à mettre en relation avec les surcouches logicielles et applications préinstallées. De l'entrée de gamme au haut de gamme, il y a parmi les 29 fabricants, des marques relativement " exotiques. " Toutefois, on y retrouve aussi les noms de Samsung, Asus et Xiaomi avec un nombre de vulnérabilités élevé.

kryptowire-nombre-vulnerabilites-firmware-fabricants
Une liste détaillée est disponible sur le site du NIST et de Kryptowire. Les vulnérabilités les plus représentées sont de type modification des propriétés système, devant l'installation d'applications, l'exécution de commande, la modification des paramètres réseau, l'enregistrement audio et le chargement dynamique de code.

kryptowire-vulnerabilites-firmware-type
" Nous voulions comprendre à quel point il est facile pour quelqu'un de pouvoir pénétrer dans l'appareil sans que l'utilisateur ne télécharge une application ", a déclaré le patron de Kryptowire à Wired. " Si le problème réside dans l'appareil, cela signifie que l'utilisateur n'a pas d'options. Parce que le code est profondément enfoui dans le système, dans la plupart des cas, l'utilisateur ne peut rien faire pour supprimer la fonctionnalité incriminée. "

Évidemment, si l'utilisateur avait davantage de latitude pour la gestion des applications préinstallées… la donne serait différente.

Pour Samsung, Kryptowire a divulgué 33 vulnérabilités dans des appareils Android provenant de six applications préinstallées, dont deux développées par des partenaires tiers. À Wired, un porte-parole de Samsung assure que pour ses propres applications préinstallées, les protections adéquates sont déjà en place et renvoie vers le framework Android Security qui empêche des exploitations. Un point sur lequel Kryptowire est en désaccord.

Quoi qu'il en soit, le rapport met une nouvelle fois en lumière les difficultés pour la sécurisation de la chaîne d'approvisionnement des logiciels.

De son côté, Google dit apprécier le travail de la communauté de la recherche en sécurité et sa collaboration pour la divulgation responsable et la correction de problèmes comme ceux rapportés par Kryptowire.

Dans une récente étude de cas du cheval de Troie Android dénommé Triada, Google avait souligné le renforcement des défenses de Google Play Protect et l'existence d'un programme pour le recours par les fabricants à l'outil Build Test Suite d'analyse de la sécurité des images système.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2083807
Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.
Le #2083830
LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.
Le #2083836
Psyconaute a écrit :

LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.


Et si encore on pouvait les désinstaller comme n'importe quelle application, ça pourrait passer.. Mais c'est rarement le cas, faut soit rooter soit jouer avec ADB.
Le #2083844
skynet a écrit :

Psyconaute a écrit :

LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.


Et si encore on pouvait les désinstaller comme n'importe quelle application, ça pourrait passer.. Mais c'est rarement le cas, faut soit rooter soit jouer avec ADB.


En général on peut les désactiver quand même, non ?
Déjà qu'on peut désactiver certaines de Google, ça serait bizarre que ça soit bloqué pour des app tiers.
Le #2083845
CodeKiller a écrit :

skynet a écrit :

Psyconaute a écrit :

LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.


Et si encore on pouvait les désinstaller comme n'importe quelle application, ça pourrait passer.. Mais c'est rarement le cas, faut soit rooter soit jouer avec ADB.


En général on peut les désactiver quand même, non ?
Déjà qu'on peut désactiver certaines de Google, ça serait bizarre que ça soit bloqué pour des app tiers.


Pas tous hélas...
Par exemple Google Video, photo, etc .. Des trucs qu'on pourrait ne pas utiliser, et qu'en plus il faut mettre à jour (data).
Le #2083847
skynet a écrit :

CodeKiller a écrit :

skynet a écrit :

Psyconaute a écrit :

LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.


Et si encore on pouvait les désinstaller comme n'importe quelle application, ça pourrait passer.. Mais c'est rarement le cas, faut soit rooter soit jouer avec ADB.


En général on peut les désactiver quand même, non ?
Déjà qu'on peut désactiver certaines de Google, ça serait bizarre que ça soit bloqué pour des app tiers.


Pas tous hélas...
Par exemple Google Video, photo, etc .. Des trucs qu'on pourrait ne pas utiliser, et qu'en plus il faut mettre à jour (data).


Oui et même désactivée, l'app est toujours la.
Genre une app malveillante pourrais réactiver une app faillible pour faire son office, puis la re-désactiver.
Le #2083848
LinuxUser a écrit :

skynet a écrit :

CodeKiller a écrit :

skynet a écrit :

Psyconaute a écrit :

LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.


Et si encore on pouvait les désinstaller comme n'importe quelle application, ça pourrait passer.. Mais c'est rarement le cas, faut soit rooter soit jouer avec ADB.


En général on peut les désactiver quand même, non ?
Déjà qu'on peut désactiver certaines de Google, ça serait bizarre que ça soit bloqué pour des app tiers.


Pas tous hélas...
Par exemple Google Video, photo, etc .. Des trucs qu'on pourrait ne pas utiliser, et qu'en plus il faut mettre à jour (data).


Oui et même désactivée, l'app est toujours la.
Genre une app malveillante pourrais réactiver une app faillible pour faire son office, puis la re-désactiver.


Oui il faut être root pour pouvoir désinstaller, ou jouer avec ADB...
Le #2083863
CodeKiller a écrit :

skynet a écrit :

Psyconaute a écrit :

LinuxUser a écrit :

Voila, les apps préinstallées:
- c'est de la place potentiellement perdue
- ce sont potentiellement des moyens de télémétrie, voir de récupération des données personnelles
- c'est du code en plus, donc potentiellement des failles en plus

Il faudrait que ce type d'étude se multiplie afin que les apps préinstallées soient tellement nuisibles à l'image des fabriquants qu'ils n'aient plus d'autre choix que d'en mettre le moins possible.


Entièrement d’accord mais c'est pas prêt d'arrivé, l’appât du gain comme sur pc avec les bloatware..... c'est la triste réalité, quand y'a du pognon en jeux y'a pas de limite même si certains fabricants n'ont pas besoin de ça, et ça se remarque, ils ne sont pas dans le listing.


Et si encore on pouvait les désinstaller comme n'importe quelle application, ça pourrait passer.. Mais c'est rarement le cas, faut soit rooter soit jouer avec ADB.


En général on peut les désactiver quand même, non ?
Déjà qu'on peut désactiver certaines de Google, ça serait bizarre que ça soit bloqué pour des app tiers.


Ça dépend complètement des applis et du constructeur. Par exemple, aucune application pré-chargée n'est désactivable sur les téléphones Xiaomi (que ça soit les apps Xiaomi ou Google).

Tant qu'il y a de l'argent à se faire, il y aura des apps préchargées et des publicités, et des récoltes de données, et plein d'autres cochonneries. C'est-à-dire, tant que l'utilisateur ne paye pas un prix englobant tout ce manque à gagner pour l'appareil qu'il achète. Les constructeurs tirent les prix vers le bas sur tous les appareils pour appeler à la consommation et se démarquer sur le marché. Le consommateur verra lui un prix bas... mais ne voit pas ce qu'il paye ailleurs. Il n'y a pas de solution à ce problème dans l'économie de marché actuelle.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme