Dans le cadre d'une recherche financée par le département de la Sécurité intérieure des États-Unis, Kryptowire a découvert 146 vulnérabilités de firmware dans les smartphones neufs de 29 fabricants. L'accent a été mis sur l'exposition à des menaces dite " prépositionnées " avec des appareils Android vendus par des opérateurs aux États-Unis. Néanmoins, Kryptowire souligne que ses résultats concernent les appareils dans le monde entier.

La mise au jour des vulnérabilités a eu lieu via un outil qui analyse les firmwares de manière automatisée sans un accès physique à l'appareil et pour l'obtention de données permettant de générer des preuves de concept. Des exploits peuvent ainsi être testés.

L'exposition à des menaces est à mettre en relation avec les surcouches logicielles et applications préinstallées. De l'entrée de gamme au haut de gamme, il y a parmi les 29 fabricants, des marques relativement " exotiques. " Toutefois, on y retrouve aussi les noms de Samsung, Asus et Xiaomi avec un nombre de vulnérabilités élevé.

kryptowire-nombre-vulnerabilites-firmware-fabricants
Une liste détaillée est disponible sur le site du NIST et de Kryptowire. Les vulnérabilités les plus représentées sont de type modification des propriétés système, devant l'installation d'applications, l'exécution de commande, la modification des paramètres réseau, l'enregistrement audio et le chargement dynamique de code.

kryptowire-vulnerabilites-firmware-type
" Nous voulions comprendre à quel point il est facile pour quelqu'un de pouvoir pénétrer dans l'appareil sans que l'utilisateur ne télécharge une application ", a déclaré le patron de Kryptowire à Wired. " Si le problème réside dans l'appareil, cela signifie que l'utilisateur n'a pas d'options. Parce que le code est profondément enfoui dans le système, dans la plupart des cas, l'utilisateur ne peut rien faire pour supprimer la fonctionnalité incriminée. "

Évidemment, si l'utilisateur avait davantage de latitude pour la gestion des applications préinstallées… la donne serait différente.

Pour Samsung, Kryptowire a divulgué 33 vulnérabilités dans des appareils Android provenant de six applications préinstallées, dont deux développées par des partenaires tiers. À Wired, un porte-parole de Samsung assure que pour ses propres applications préinstallées, les protections adéquates sont déjà en place et renvoie vers le framework Android Security qui empêche des exploitations. Un point sur lequel Kryptowire est en désaccord.

Quoi qu'il en soit, le rapport met une nouvelle fois en lumière les difficultés pour la sécurisation de la chaîne d'approvisionnement des logiciels.

De son côté, Google dit apprécier le travail de la communauté de la recherche en sécurité et sa collaboration pour la divulgation responsable et la correction de problèmes comme ceux rapportés par Kryptowire.

Dans une récente étude de cas du cheval de Troie Android dénommé Triada, Google avait souligné le renforcement des défenses de Google Play Protect et l'existence d'un programme pour le recours par les fabricants à l'outil Build Test Suite d'analyse de la sécurité des images système.