La personnalisation d'Android effectuée par les constructeurs d'appareils mobiles
La personnalisation d'Android effectuée par les constructeurs d'appareils mobiles
a des retombées sur la sécurité des dispositifs de cet écosystème
Des chercheurs se sont intéressés à la personnalisation d'Android et à ses retombées sur la sécurité des dispositifs de cet écosystème. Pour les besoins de leur étude, ils se sont servis d’un outil développé en interne et baptisé ADDICTED qui avait pour mission de découvrir les failles dans les pilotes personnalisés.
« Sur un téléphone personnalisé, ADDICTED effectue une analyse dynamique pour corréler les opérations sur un dispositif à ses fichiers Linux connexes, et détermine ensuite si ces fichiers sont sous-protégés sur la couche Linux en les comparant avec leurs homologues sur un SE Android officiel. De cette façon, nous pouvons détecter une série de failles de sécurité probables sur le téléphone. En utilisant cet outil, nous avons analysé trois téléphones populaires de Samsung, identifié leurs défauts probables et développé des attaques de bout-en-bout qui permettent à une application non privilégiée de prendre des photos ainsi que des captures d'écran, et même enregistrer les touches saisies par les utilisateurs sur l'écran tactile », ont-ils avancé. « Il s’avère que ces vulnérabilités ont également été répertoriées dans des centaines d’autres modèles de téléphone ».
« Certaines de ses failles s’avèrent être présentes sur des centaines de modèles de téléphones et affectent ainsi des millions d’utilisateurs. Nous avons signalé ces failles et aidé les constructeurs à résoudre ces problèmes. Par la suite, nous avons étudié les paramètres de sécurité des dispositifs classés dans 2 423 images usine de constructeurs de téléphone importants, découvert plus de 1 000 images vulnérables mais aussi acquis des notions sur la façon dont elles sont distribuées sur différentes versions d’Android, opérateurs et pays ».
Mais qu’est ce qui peut donc expliquer cela ? Selon eux, les constructeurs de téléphone mobile Android croulent sous le poids d’une pression perpétuelle lorsqu’ils veulent sortir leurs nouveaux modèles parce qu’ils doivent constamment personnaliser Android pour l’adapter aux nouveaux venus dans leurs écuries. « Cependant, les implications en matière de sécurité de cette pratique sont moins connues, en particulier lorsqu’il s’agit des changements effectués sur les pilotes Linux des dispositifs Android comme ceux des caméras, du GPS, du NFC, etc. », explique leur rapport.
Pour eux, leurs recherches n’ont fait « qu’effleurer la surface de ce grand défi en sécurité » qui vient avec la personnalisation d’Android. « Même sur la couche Linux, il y a plusieurs fichiers du dispositif que nous n’avons pas été en mesure d’interpréter, sans parler de la détection sur les failles dans leur sécurité ».
Les chercheurs ne sont pas les seuls à voir dans la personnalisation du système d’exploitation Android une origine quant à l’augmentation du risque dans la sécurité. D’ailleurs, Jon Sawyer d’Applied Cyber Security, a avancé que « le code d’AOSP [Android Open Source Project] a eu un maximum d’yeux rivés dessus ; ceux de Google, de ses partenaires SOC [Système On a Chip, système sur puce], des constructeurs, des communautés. Il est souvent examiné. Pourtant, le code personnalisé n’a que les yeux du constructeur rivé sur lui. Certains sont examinés avec plus d’attention et mieux que d’autres. Certains se présentent comme si le constructeur n’avait même pas fait une seconde lecture. Alors oui, de nombreux bugs proviennent de la personnalisation faite par le constructeur ».
D’autres comparatifs ont été faits sur la sécurité sur le système d’exploitation après une personnalisation d’Android par un ensemble de chercheurs d’IC-UNICAMP. Les chercheurs ont analysé cinq différents modèles : le Google Nexus 4, le Google Nexus 5, le Sony Z1, le Samsung Galaxy S4 et le Samsung Galaxy S5, tous tournant sur une version 4.4.X du système d’exploitation, exception faite du Samsung Galaxy S4 qui tournait sur une version personnalisée d’Android 4.3.
« Nos conclusions indiquent que de sérieux problèmes de sécurité comme l’expansion de la surface d’attaque et un faible contrôle des permissions croissent avec le niveau de personnalisation », ont indiqué les chercheurs dans un rapport soumis plus tôt ce mois-ci à la conférence ACM sur la sécurité et la vie privée dans les réseaux mobiles et sans fil.
Source : détail sur la recherche (au format PDF), comparatif UC-UNICAMP
Répondre avec citation
Partager