Accueil High-Tech Ces téléphones Android populaires étaient livrés avec des vulnérabilités préinstallées

Ces téléphones Android populaires étaient livrés avec des vulnérabilités préinstallées

0
0

Les chercheurs en sécurité de Kryptowire ont déclaré avoir découvert 38 vulnérabilités sur 25 téléphones Android, tous sur des applications préinstallées.

Juan Garzón / Camaraderielimited

Il est déjà difficile de protéger votre téléphone contre les applications malveillantes. Google bloque chaque année des centaines de milliers de mauvaises applications.

Votre téléphone est une cible attrayante. Les applications ouvrent beaucoup d’accès à vos appareils, atteignant vos contacts, votre position, votre utilisation de données, parmi les nombreuses informations privées que vous partagez avec votre téléphone.

Ainsi, vous pouvez imaginer à quel point cela devient difficile lorsqu'il existe des applications avec des vulnérabilités de sécurité préinstallées sur plusieurs téléphones Android.

Les chercheurs en sécurité de Kryptowire, une société de sécurité, ont découvert 38 vulnérabilités différentes qui permettaient d’espionner et de réinitialiser les fabriques chargées sur 25 téléphones Android, dont 11 vendus par les principaux opérateurs américains. Cela inclut les appareils d'Asus, de ZTE, de LG et d'Essential Phone, distribués par des opérateurs tels que Verizon ou AT & T.

Les vulnérabilités ne sont que le dernier coup porté à Android, qui souffre de la perception qu’il s’agit d’une plate-forme mobile moins sécurisée que l’iOS d’Apple. Google a travaillé pour réparer son image, forçant les mises à jour de sécurité pour les fournisseurs et poussant les applications malveillantes, mais ce genre de révélation n’aide pas. Cela rappelle également que les consommateurs doivent être plus vigilants quant à la protection des informations sur leurs appareils mobiles.

Angelos Stavrou, PDG de Kryptowire, et Ryan Johnson, directeur de la recherche de la société, ont dévoilé leurs conclusions lors de la conférence des pirates informatiques de DEFCON vendredi.

"Toutes ces vulnérabilités sont prépositionnées. Elles apparaissent lorsque vous sortez le téléphone", a déclaré Stavrou. "C'est important parce que les consommateurs pensent qu'ils ne sont exposés que s'ils téléchargent quelque chose de mauvais."

Un porte-parole d’Essential a déclaré que la société avait résolu ces problèmes une fois que Kryptowire les avait contactés. Un porte-parole de LG a déclaré que la société introduisait des correctifs de sécurité pour corriger les vulnérabilités.

"ASUS est conscient des problèmes de sécurité soulevés par ZenFone et travaille avec diligence et rapidité pour les résoudre avec des mises à jour logicielles qui seront distribuées en direct à nos utilisateurs ZenFone", a déclaré un porte-parole d’ASUS dans un communiqué.

AT & T a déclaré avoir déployé des correctifs pour résoudre le problème.

ZTE n'a pas répondu à une demande de commentaire. Verizon n'a pas non plus répondu à une demande de commentaire.

"Les problèmes qu’ils ont décrits n’affectent pas le système d’exploitation Android lui-même, mais plutôt le code tiers et les applications sur les appareils. Avec Kryptowire, nous avons contacté les partenaires Android concernés", a déclaré un porte-parole de Google. déclaration.

Défaut à l'arrivée

Les pirates pourraient potentiellement exploiter les vulnérabilités pré-installées, enregistrer des écrans, effectuer des captures d'écran, brique ou réinitialisation d'un périphérique, ou voler des informations privées en demandant à une victime de télécharger une application malveillante. Ils pourraient également obtenir des journaux de ce qu’une personne tapait, lisait et avec qui elle était en contact.

Considérant que des milliers de personnes tombent sous le coup d’applications malveillantes qui représentent des outils inoffensifs comme une lampe de poche ou des jeux populaires comme Fortnite, il n’est pas difficile d’amener les gens à télécharger le bon type d’application malveillante, at-il noté.

Même si la plupart des applications ne peuvent pas accéder aux fichiers protégés, elles peuvent utiliser les failles de ces applications préinstallées, a déclaré Johnson dans une interview avant DEFCON.

Le problème réside en partie dans le fait que les fabricants de téléphones ont la possibilité de mettre librement à leur disposition toutes les applications qu'ils souhaitent sur les appareils qu'ils vendent. Alors que Google est capable de patrouiller son Play Store et de bloquer les logiciels malveillants ou les applications présentant des failles de sécurité, ils n’ont pas beaucoup de contrôle sur ce qui est fourni avec les appareils, ont indiqué les chercheurs.

"Tout fournisseur peut créer une version Android", a déclaré Johnson. "Certaines de ces applications préinstallées peuvent ne pas faire l’objet d’un examen minutieux par Google avec leurs propres applications."

Variété de vulnérabilités

Parce qu'il y a tant de fabricants de téléphones différents pour les appareils Android, il est difficile pour Google et les chercheurs de suivre toutes les applications pré-installées, a déclaré Johnson. Certains fournisseurs font de meilleurs travaux que d'autres en s'assurant que leurs applications préinstallées sont sécurisées.

Les vulnérabilités diffèrent d’un téléphone à l’autre, car elles ont toutes des applications pré-installées différentes, selon les chercheurs de Kryptowire.

Certains sont graves, comme le Essential Phone, qui présentait une vulnérabilité permettant à un attaquant de réinitialiser les paramètres d'usine. La faille vient grâce à une application pré-installée avec un nom de fichier "com.ts.android.hiddenmenu." Toute application sur l'appareil pourrait accéder à cette application préinstallée et l'utiliser pour atteindre le système du téléphone essentiel et éliminer toutes les données qui y sont stockées, a déclaré Stavrou.

D'autres vulnérabilités, comme celles de ZenFone 3 Max d'ASUS, permettent aux applications d'installer toute autre application sur Internet, d'obtenir des mots de passe Wi-Fi, de créer des enregistreurs de frappe, d'intercepter des messages texte et de passer des appels téléphoniques. Cela a également été sur les ZenFone V et ZenFone 4 Max et Max Pro, selon les chercheurs.

Les chercheurs ont noté qu’il n’y avait peut-être pas d’autre chose, estimant qu’ils n’avaient pas examiné chaque appareil Android disponible. Avec plus de 24 000 types d'appareils Android enregistrés en 2015, l'exécution d'analyses de vulnérabilités sur chacun d'entre eux serait une tâche monumentale.

"En tant qu'utilisateur final, vous ne pouvez pas faire grand chose", a déclaré Stavrou. "Quelqu'un devra scanner et analyser votre firmware et trouver les vulnérabilités."

  • simvalley mobile Montre-téléphone et smartwatch pour Android/iOS PW-425
    Insérez simplement une carte Nano SIM dans la smartwatch. Elle devient alors un véritable téléphone portable parfaitement autonome, avec lequel…
  • YONIS Smartphone Android 7.0 Telephone 4G Portable 4Go RAM 5.5' Full HD Or
    Le Smartphone 5,5 Pouces est bien équipé, car pour ce qui est des performances, il n'a pas à rougir devant…
  • Livres Avec le Cassis - Toutes ses vertus et ses propriétés 95 pages - Philippe Andrianne
    Description : Cet ouvrage se positionne dans la continuité des anciens « Traités du cassis » publiés à de nombreuses…
  • Konrow Coolsense - Smartphone Android 6 Marshmallow - Ecran 4.5'' - 8Go - Double Sim - Blanc
    Always by your sideLe COOLSENSE est un smartphone aux proportions parfaites. Se logeant dans le creux de votre main, dans…
Chargez plus d'articles en relation
Chargez plus par Camaractu
CHargez plus dans High-Tech

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Regardez aussi

Les coureurs Nissan de Formule E porteront des kimonos pour la nouvelle saison

La nouvelle livrée de Nissan serait inspirée des kimonos. Nissan Lorsque Sébastien Buemi e…