Les chercheurs du Security Research Labs (SRL) ont découvert ce qu’ils appellent un » écart de patch », dans de nombreux cas, dans des smartphones Android de certains fabricants. Pire, ils indiquaient aux utilisateurs qu’ils avaient pourtant déployé tous les correctifs de sécurité jusqu’à une date précise, précise le site Wired.
Or, dans certain cas, il pouvait manquer jusqu’à une douzaine de patches correctifs sur cette période. De quoi laisser les terminaux mobiles concernés vulnérables à des techniques de piratage, tels que des malware.
SRL annonce avoir testé les micrologiciels de 1 200 smartphones Android, issus de plus d’une douzaine de fabricants. Les tests étaient menés pour découvrir la présence ou l’absence de chaque patch signé Android déployé en 2017.
«Nous constatons qu’il existe un décalage entre les revendications de correctifs et les correctifs installés sur un périphérique, ce qui est faible pour certains périphériques et assez important pour d’autres», explique Karsten Nohl, un chercheur renommé en sécurité et fondateur de SRL.
Ont été passés au cribles les propres smartphones Pixel de Google, ainsi que ceux d’autres fabricants tels que HTC, Samsung, Motorola, ZTE et d’autres moins connus.
A titre d’exemple, SRL a constaté que le smartphone d’entrée de gamme J3 signé Samsung était censé être à jour tous les correctifs de sécurité de 2017, alors qu’il manquait en fait 12 de ces correctifs publiés cette année-là. Il n’y a visiblement pas de règle établi puisque ce même fabricant a découvert que le J5 de Samsung était, lui, à jour avec presque tous les correctifs de sécurité de 2017. S’il a manqué quelques correctifs de sécurité de 2017, Samsung n’a pas annoncé qu’ils avaient été installés.
Les investigations ont montré que, exception faite des téléphones phares de Google tels que Pixel et Pixel 2, les même des fabricants de modèles haut de gamme prétendaient parfois avoir installé des correctifs dont ils manquaient réellement.
Ces fabricants ont ainsi délibérément menti et tromper leurs clients sur des questions critiques et sensibles de sécurité.
Le mensonge va parfois jusqu’à modifier la date des anciennes mises à jour (avec des dates plus récentes) pour faire croire aux utilisateurs qu’ils disposent des derniers correctifs de sécurité.
Les correctifs de sécurité sur les appareils tiers sont un problème permanent pour Google et son système d’exploitation Android. Avec sa découverte, SRL jette un pavé dans la marre.
Aujourd’hui, à l’occasion de la conférence de sécurité Hack in the Box qui se tient à Amsterdam, les chercheurs Karsten Nohl et Jakob Lell de la société Security Research Labs ont l’intention de détailler leurs recherches.
(Photo credit: Uncalno via Visualhunt.com / CC BY)
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…