Ces applications Android pré-installées peuvent être remplies de failles de sécurité – TechCrunch

Si vous avez déjà acheté un appareil Android de gamme faible à moyenne téléphone, il y a de fortes chances que vous l’ayez démarré pour le trouver déjà chargé avec du courrier indésirable que vous n’avez certainement pas demandé.

Ces applications pré-installées peuvent être fastidieuses, ennuyeuses à supprimer, rarement mises à jour… et, en fin de compte, pleines de failles de sécurité.

La société de sécurité Kryptowire a mis au point un outil pour analyser automatiquement un grand nombre d'appareils Android afin de détecter des défaillances en matière de sécurité. Dans une étude financée par le département américain de la Sécurité intérieure, il a été utilisé sur les téléphones de 29 fournisseurs différents. Maintenant, la majorité de ces vendeurs sont des marques dont la plupart des gens n’ont jamais entendu parler – mais quelques grands noms comme Asus, Samsung et Sony apparaissent.

Kryptowire affirme avoir découvert des vulnérabilités de toutes sortes, des applications pouvant être forcées d’installer d’autres applications aux outils pouvant être intégrés à l’enregistrement audio, en passant par ceux qui peuvent gêner en silence les paramètres de votre système. Certaines des vulnérabilités ne peuvent être déclenchées que par d'autres applications préinstallées (limitant ainsi le vecteur d'attaque à celles de la chaîne logistique); d'autres, en attendant, peuvent apparemment être déclenchées par n'importe quelle application que l'utilisateur pourrait installer par la suite.

Kryptowire a ici une liste complète des vulnérabilités observées, classées par type et fabricant. La société affirme avoir trouvé 146 vulnérabilités au total.

Comme le fait remarquer Wired, Google connaît bien cette voie d’attaque potentielle. En 2018, elle a lancé un programme appelé Build Test Suite (ou «BTS») que tous les constructeurs OEM partenaires doivent réussir. BTS analyse les micrologiciels d’un appareil à la recherche de tout problème de sécurité connu qui se cache parmi ses applications préinstallées, en signalant ces applications comme «applications potentiellement nuisibles» (ou «PHA»). Comme Google le met dans son rapport de sécurité Android 2018:

Les équipementiers soumettent leurs images de construction nouvelles ou mises à jour à BTS. BTS exécute ensuite une série de tests qui recherchent des problèmes de sécurité sur l'image système. L'un de ces tests de sécurité analyse les PHA préinstallées incluses dans l'image système. Si nous trouvons un PHA sur la construction, nous travaillons avec le partenaire OEM pour corriger et supprimer le PHA de la construction avant qu'il puisse être proposé aux utilisateurs.

Au cours de sa première année civile, BTS a empêché 242 constructions avec des PVVIH d'entrer dans l'écosystème.

Chaque fois que BTS détecte un problème, nous travaillons avec nos partenaires OEM pour corriger et comprendre comment l'application a été incluse dans la construction. Ce travail d'équipe nous a permis d'identifier et d'atténuer les menaces systémiques pesant sur l'écosystème.

Hélas, un système automatisé ne peut pas tout gérer – et lorsqu'un problème survient, rien ne garantit qu'un correctif ou une solution n'arrive jamais (en particulier sur les périphériques bas de gamme, où la prise en charge à long terme a tendance à être limitée.)

Nous avons contacté Google pour commenter le rapport, mais nous n'avons pas encore reçu de réponse.

Traduit de la source : https://techcrunch.com/2019/11/15/those-crappy-pre-installed-android-apps-can-be-full-of-security-holes/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.