Une équipe de chercheurs du laboratoire HexHive (École Polytechnique Fédérale de Lausanne) a développé un programme, EL3XIR, qui a permis de détecter 34 bugs — dont 17 considérés critiques — dans le Secure Monitor d’Android, une des trois couches du système d’exploitation. Les deux autres couches (l’environnement sécurisé Secure World et l’environnement normal Normal Word) présentent eux aussi des vulnérabilités.
31 failles de sécurité dans Android
Ça n’est pas tout : après l’examen de 15 000 applications, 14 failles de sécurité critiques ont été détectées. 10 d’entre elles ont été corrigés par les développeurs « sans en informer les utilisateurs », 9 bugs ont été confirmés. En tout, les chercheurs ont repéré 31 vulnérabilités dans Android, qui si elles étaient exploitées permettraient à des hackers de s’introduire dans le système pour avoir un accès permanent aux données « tant que vous avez le même téléphone ».
Ces failles ont pu être exploitées pour voler des informations personnelles : empreintes digitales et données faciales, ainsi que d’autres données sensibles stockées sur le téléphone comme les informations liées à la carte de crédit ou à la sécurité sociale.
Et cela ne s’arrête pas à Android. L’équipe s’est concentrée sur le système d’exploitation de Google parce qu’il est ouvert, mais iOS est basé sur une architecture similaire. « Des failles de sécurité similaires sont probablement présentes dans l’écosystème de l’iPhone », affirme Mathias Payer, qui dirige le laboratoire. « La recherche publique en matière de sécurité sur les iPhones est beaucoup moins répandue en raison de l’approche fermée d’Apple, qui oblige les chercheuses et chercheurs à procéder d’abord à une rétroconception des informations essentielles disponibles publiquement sur Android ».
Les fournisseurs concernés ont été prévenus de l’existence de ces vulnérabilités, et comme c’est la règle, ils ont eu 90 jours pour développer des correctifs (« ce qu’ils ont fait ») avant la révélation de l’existence de ces failles. Si Google, les éditeurs d’apps et les constructeurs jouent un rôle essentiel, les utilisateurs ont aussi une part importante à remplir. Ils doivent mettre à jour leurs appareils et les applications, télécharger des apps uniquement sur les boutiques de confiance, et acheter des smartphones bénéficiant de longs cycles de mises à jour.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : EPFL
