Une société de cybersécurité a dévoilé une série de brèches au sein de smartphones Android très populaires. Certaines permettant de prendre un contrôle total sur le terminal. Les différents constructeurs ont annoncé préparer des patchs.
À chaque mois, sa faille de sécurité dans le petit monde des smartphones. Et il n'y a définitivement pas de vacances pour les acteurs de la cybersécurité. Vendredi 10 août, la société Kryptowire a réalisé une conférence à Las Vegas concernant une série de failles découvertes au cœur d'Android. Elle concerne plusieurs millions de smartphones vendus. L'étude, financée par le département de la sécurité intérieure, n'a pas encore été publiée. En attendant, le média américain Wired a pu s'entretenir avec ses auteurs pour en savoir plus. Cependant, rassurez-vous, la faille n'est exploitable que sous certaines conditions. Il faudra, par exemple, installer une application sans passer par le Play Store pour se retrouver vulnérable.Un contrôle total de certains smartphones
Pour leur étude, le cabinet de cybersécurité Kryptowire a étudié une dizaine de smartphones parmi les plus vendus aux États-Unis. Dans le lot, des terminaux Asus, Essential, ZTE et LG. Leur point commun étant une modification du code source d'Android par les constructeurs, ouvrant des brèches plus ou moins graves. "Beaucoup de personnes veulent ajouter leurs propres applications ou ajouter des lignes de codes au sein du système d'exploitation, explique Angelos Stavrou, PDG de Kryptowire interrogé par Wired. Cela augmente la surface d'attaque."Ainsi, certains smartphones sont particulièrement vulnérables. Selon les auteurs de l'étude, il y aurait assez de failles dans l'Asus Zenfone V Live pour prendre le contrôle total du terminal. Ils ont pu, par exemple, faire des captures d'écran, lancer la caméra ou écrire des textos. Sur le G6 de LG, les équipes de Kryptowire ont réussi à bloquer le téléphone, empêchant ainsi son propriétaire de l'utiliser. Ils ont également réinitialisé un Essential Phone avec les paramètres d'usine.
Les constructeurs sur le coup
Pour obtenir ces résultats, les employés de la firme de cybersécurité ont installé une application malveillante dans les terminaux ciblés sans passer par le Play Store. Cette application est capable d'exploiter les failles de l'OS sans demander la moindre autorisation à l'utilisateur. Ainsi, ce dernier ne s'en rend pas compte. "La brèche est tellement enfoncée dans les entrailles du système d'exploitation que le propriétaire du smartphone n'a aucun moyen de savoir si son terminal est infecté, explique Angelous Stavrou à Wired. Et même s'il s'en rend compte, il n'a pas d'autres choix que d'attendre la mise à jour du constructeur."Soucieux de leur image, les constructeurs s'activent donc afin de colmater ces brèches. Dans un communiqué, LG explique "avoir été mis au courant des vulnérabilités et a introduit des patchs de sécurité" dans ses téléphones. Essential, ZTE, Asus et même l'opérateur américain AT&T ont également déclaré faire le maximum pour régler le problème. Cependant, rien ne dit que les différentes mises à jour arriveront jusqu'au consommateur rapidement. Et pour cause, une étude datant d'avril dernier pointait du doigt la rigueur douteuse des constructeurs concernant les mises à jour. Elle révélait ainsi que plusieurs géants de la téléphonie ne soumettaient pas l'ensemble des mises à jour de sécurité à leurs utilisateurs, préférant emballer l'ensemble dans quelques patchs majeurs. Une démarche d'autant plus pernicieuse que, rappelons-le, il est impossible de savoir si le smartphone est infecté ou non par la faille évoquée ici…
Lire la suite : Des millions de smartphones vulnérables à une faille de sécurité