Pour gérer vos consentements :

Android : des chercheurs dénoncent les mensonges sur les correctifs de sécurité

Les chercheurs du Security Research Labs (SRL) ont découvert ce qu’ils appellent un  » écart de patch », dans de nombreux cas, dans des smartphones Android de certains fabricants. Pire, ils indiquaient aux utilisateurs qu’ils avaient pourtant déployé tous les correctifs de sécurité jusqu’à une date précise, précise le site Wired.

Un problème de sécurité doublé d’un mensonge

Or, dans certain cas, il pouvait manquer jusqu’à une douzaine de patches correctifs sur cette période. De quoi laisser les terminaux mobiles concernés vulnérables à des techniques de piratage, tels que des malware.

SRL annonce avoir testé les micrologiciels de 1 200 smartphones Android, issus de plus d’une douzaine de fabricants. Les tests étaient menés pour découvrir la présence ou l’absence de chaque patch signé Android déployé en 2017.

«Nous constatons qu’il existe un décalage entre les revendications de correctifs et les correctifs installés sur un périphérique, ce qui est faible pour certains périphériques et assez important pour d’autres», explique Karsten Nohl, un chercheur renommé en sécurité et fondateur de SRL.

Des pratiques généralisées

Ont été passés au cribles les propres smartphones Pixel de Google, ainsi que ceux d’autres fabricants tels que HTC, Samsung, Motorola, ZTE et d’autres moins connus.

A titre d’exemple, SRL a constaté que le smartphone d’entrée de gamme J3 signé Samsung était censé être à jour tous les correctifs de sécurité de 2017, alors qu’il manquait en fait 12 de ces correctifs publiés cette année-là. Il n’y a visiblement pas de règle établi puisque ce même fabricant a découvert que le J5 de Samsung était, lui, à jour avec presque tous les correctifs de sécurité de 2017. S’il a manqué quelques correctifs de sécurité de 2017, Samsung n’a pas annoncé qu’ils avaient été installés.

Les investigations ont montré que, exception faite des téléphones phares de Google tels que Pixel et Pixel 2, les même des fabricants de modèles haut de gamme prétendaient parfois avoir installé des correctifs dont ils manquaient réellement.

Ces fabricants ont ainsi délibérément menti et tromper leurs clients sur des questions critiques et sensibles de sécurité.

Le mensonge va parfois jusqu’à modifier la date des anciennes mises à jour (avec des dates plus récentes) pour faire croire aux utilisateurs qu’ils disposent des derniers correctifs de sécurité.

Les correctifs de sécurité sur les appareils tiers sont un problème permanent pour Google et son système d’exploitation Android. Avec sa découverte, SRL jette un pavé dans la marre.

Aujourd’hui, à l’occasion de la conférence de sécurité Hack in the Box qui se tient à Amsterdam, les chercheurs Karsten Nohl et Jakob Lell de la société Security Research Labs ont l’intention de détailler leurs recherches.

(Photo credit: Uncalno via Visualhunt.com / CC BY)

Recent Posts

Sauvegarde et restauration : Veeam dévoile la v12

Veeam dévoile la mise à niveau de son offre Backup & Replication (v12) et dévoile…

9 heures ago

Phishing : LinkedIn concentre plus de la moitié des tentatives dans le monde

Les utilisateurs du réseau social professionnel sont des cibles de choix pour les campagnes de…

10 heures ago

Cloud : Microsoft prêt à lâcher du lest sur le marché européen

Visé par une plainte d'OVHCloud, notamment, Microsoft se dit prêt à faire des concessions sur…

11 heures ago

Google Russie anticipe le dépôt de bilan, migre des employés vers Dubaï

La saisie du compte bancaire de Google Russie rend intenable le fonctionnement de son bureau…

14 heures ago

RGPD : vers une nouvelle méthode de calcul des amendes

Le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices…

16 heures ago

Qui utilise (vraiment) les outils low code et no code ?

Près de 5 développeurs sur 10 utilisent des outils low / no code. Mais pour…

1 jour ago