La sécurité de l’écosystème Android a toujours été compliquée. Mais depuis que les experts se penchent sur les firmwares, ça le devient encore plus. La société Kryptowire vient ainsi de révéler une longue liste de 146 failles trouvées dans les firmwares de 33 fournisseurs. Beaucoup d’entre eux sont d’obscures marques asiatiques, mais il y a aussi les acteurs connus tels que Samsung, Asus ou Xiaomi. Chez ces derniers, les failles sont même particulièrement nombreuses. Kryptowire a trouvé chez eux respectivement 33, 26 et 15 vulnérabilités.
Parmi ces 146 failles, on trouve un peu de tout : exécution de commandes, modifications de paramètres systèmes ou réseau, installation d’applications, chargement de code à la volée, enregistrement voix/vidéo. Pour les découvrir, la société s’est appuyée sur une plateforme qui scanne de manière automatisée les firmwares. Elle est non seulement capable de détecter les failles, mais aussi de fournir les éléments techniques pour une preuve de concept. Ce qui facilite aux analystes la création d’exploits.
Interrogé par Wired, Samsung conteste les conclusions de Kryptowire. D’après le fournisseur sud-coréen, les 33 failles mises en avant ne pourraient pas être exploitées, grâce au cadre de sécurité d’Android. Kryptowire n’est pas d’accord : l’entreprise estime que leur exploitation est bel et bien possible.
Un risque difficile à gérer
Ce rapport montre, en tous les cas, que les firmwares des fournisseurs sont le nouveau tendon d’Achille des smartphones Android. Les fournisseurs agrègent dans leurs surcouches tout un tas d’applications, dont certains proviennent même d’éditeurs tiers. Mais la qualité logicielle de ces applications n’est visiblement pas assez testée.
Ce n’est pas la première fois ce problème est soulevé. En août 2018, Kryptowire avait déjà publié une liste de 38 failles trouvées dans 25 smartphones. En avril 2019, un groupe de chercheurs a publié les résultats, plutôt calamiteux, d’une analyse de 82 501 applications préinstallées. Ce problème est également sur le radar de Google qui, depuis 2017, passe les firmwares de ses partenaires au peigne fin. Mais visiblement, ce n’est pas suffisant.
Sources: Kryptowire, Wired
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.