Pour gérer vos consentements :

Android : des chercheurs dénoncent les mensonges sur les correctifs de sécurité

Les chercheurs du Security Research Labs (SRL) ont découvert ce qu’ils appellent un  » écart de patch », dans de nombreux cas, dans des smartphones Android de certains fabricants. Pire, ils indiquaient aux utilisateurs qu’ils avaient pourtant déployé tous les correctifs de sécurité jusqu’à une date précise, précise le site Wired.

Un problème de sécurité doublé d’un mensonge

Or, dans certain cas, il pouvait manquer jusqu’à une douzaine de patches correctifs sur cette période. De quoi laisser les terminaux mobiles concernés vulnérables à des techniques de piratage, tels que des malware.

SRL annonce avoir testé les micrologiciels de 1 200 smartphones Android, issus de plus d’une douzaine de fabricants. Les tests étaient menés pour découvrir la présence ou l’absence de chaque patch signé Android déployé en 2017.

«Nous constatons qu’il existe un décalage entre les revendications de correctifs et les correctifs installés sur un périphérique, ce qui est faible pour certains périphériques et assez important pour d’autres», explique Karsten Nohl, un chercheur renommé en sécurité et fondateur de SRL.

Des pratiques généralisées

Ont été passés au cribles les propres smartphones Pixel de Google, ainsi que ceux d’autres fabricants tels que HTC, Samsung, Motorola, ZTE et d’autres moins connus.

A titre d’exemple, SRL a constaté que le smartphone d’entrée de gamme J3 signé Samsung était censé être à jour tous les correctifs de sécurité de 2017, alors qu’il manquait en fait 12 de ces correctifs publiés cette année-là. Il n’y a visiblement pas de règle établi puisque ce même fabricant a découvert que le J5 de Samsung était, lui, à jour avec presque tous les correctifs de sécurité de 2017. S’il a manqué quelques correctifs de sécurité de 2017, Samsung n’a pas annoncé qu’ils avaient été installés.

Les investigations ont montré que, exception faite des téléphones phares de Google tels que Pixel et Pixel 2, les même des fabricants de modèles haut de gamme prétendaient parfois avoir installé des correctifs dont ils manquaient réellement.

Ces fabricants ont ainsi délibérément menti et tromper leurs clients sur des questions critiques et sensibles de sécurité.

Le mensonge va parfois jusqu’à modifier la date des anciennes mises à jour (avec des dates plus récentes) pour faire croire aux utilisateurs qu’ils disposent des derniers correctifs de sécurité.

Les correctifs de sécurité sur les appareils tiers sont un problème permanent pour Google et son système d’exploitation Android. Avec sa découverte, SRL jette un pavé dans la marre.

Aujourd’hui, à l’occasion de la conférence de sécurité Hack in the Box qui se tient à Amsterdam, les chercheurs Karsten Nohl et Jakob Lell de la société Security Research Labs ont l’intention de détailler leurs recherches.

(Photo credit: Uncalno via Visualhunt.com / CC BY)

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

2 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

4 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

21 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

23 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago