- Certains fabricants de téléphones Android ont été surpris en train de tromper leurs clients sur la sécurité de leurs smartphones.
- Une société de recherche en sécurité affirme que certains fabricants de téléphones Android ne font que changer la date d’anciennes mises à jour pour faire croire aux utilisateurs qu’ils ont les derniers correctifs de sécurité.
- Les fabricants de téléphones en question ne sont pas spécifiquement révélés par la société de recherche ou Wired, qui a révélé les résultats.
- Les appareils Pixel de Google sont les seuls à contenir tous les correctifs de sécurité qu’il a annoncés à ses utilisateurs.
Un nombre non précisé de fabricants de smartphones Android trompe activement ses clients sur la protection de leurs appareils contre des logiciels malveillants et des vulnérabilités de piratage, selon Wired, qui a interrogé des chercheurs du Security Research Lab (SRL), basé en Allemagne.
Selon leur enquête, certains fabricants de téléphones Android disent aux utilisateurs via les informations de mise à jour dans les paramètres de leurs appareils que les derniers correctifs de sécurité sont installés sur leurs appareils alors qu’en fait, ils ne le sont pas.
Une des méthodes utilisée par certains constructeurs Android consiste à changer la date d’un patch antérieur pour faire croire aux utilisateurs qu’ils ont le dernier patch de sécurité. Ce qui donne aux utilisateurs un faux sentiment de sécurité.
Karsten Nohl de SRL a dit à Wired: “Parfois, ils changent juste la date sans installer de correctifs. Probablement pour des raisons de marketing, ils donnent au niveau du patch une date quasi-arbitraire, en fonction de ce qui semble le mieux.”
Dans d’autres cas où les fabricants de téléphones Android n’utilisent pas la manipulation de date de patch décrite ci-dessus, SRL laisse entendre que ces fabricants négligent simplement de mettre à jour leurs appareils et n’essaient pas de le cacher.
Selon Karsten Nohl de SRL, les fabricants de téléphones Android pourraient également “rater un ou deux patchs par accident”.
SRL et Wired n’ont pas précisé quels fabricants de téléphones Android utilisaient cette tactique. Samsung a été identifié dans le rapport de Wired, mais il n’était pas clair dans le rapport si Samsung a spécifiquement employé la méthode de manipulation de la date de patch décrite ci-dessus.
Le J3 de Samsung. Samsung
SRL a constaté que le smartphone d’entrée de gamme J3 de Samsung avait prétendument installé tous les correctifs de sécurité à partir de 2017, mais qu’il manquait en réalité 12 des correctifs lancés cette année-là.
A l’inverse, SRL a aussi constaté que le terminal milieu de gamme J5 de Samsung contenait tous les correctifs de sécurité annoncés. Le J5 a manqué quelques correctifs de sécurité à partir de 2017, mais il n’a pas annoncé qu’ils étaient installés. Pour les clients de J5, ceux qui vérifiaient l’état de la sécurité de leurs périphériques savaient quels correctifs étaient installés et lesquels ne l’étaient pas.
SRL a passé 1200 appareils de plus d’une douzaine de fabricants de smartphones Android au crible et a constaté que les smartphones Google étaient les seuls à offrir tous les correctifs de sécurité annoncés dans les mises à jour logicielles publiées en 2017. Google a confirmé à Business Insider que ses appareils Pixel, y compris le premier Pixel et le Pixel 2, contiennent tous les correctifs de sécurité annoncés.
En effet, Google est la source des correctifs de sécurité d’Android. C’est à des tiers, dont les fabricants de smartphones et les opérateurs de réseaux, de transmettre les mises à jour Android de Google sur leurs appareils. Toutefois, Google a encore du travail à faire pour mettre les tiers en conformité. Après tout, beaucoup associent Android directement à Google plutôt qu’aux tiers.
Les correctifs de sécurité sur les périphériques tiers ont été un problème permanent pour Google et son système d’exploitation Android. Des facteurs comme le grand nombre d’appareils Android avec différents matériels et fonctionnalités, ainsi que la conformité avec les opérateurs télécoms, amène souvent les fabricants Android tiers à déployer des correctifs et des mises à jour des mois après la sortie d’une mise à jour par Google.
Selon SRL et Wired:
Les téléphones de Samsung, Sony et Wiko, en moyenne, manquaient de zéro à un des correctifs de sécurité annoncés dans les mises à jour de 2017.
Les téléphones de Xiaomi, OnePlus et Nokia n’avaient pas entre un et trois des correctifs de sécurité annoncés.
Les téléphones de HTC, Huawei, LG et Motorola n’avaient pas entre trois à quatre des correctifs de sécurité annoncés.
Quatre ou plus de quatre des correctifs de sécurité annoncés manquaient sur les téléphones de TCL et de ZTE.
Business Insider a demandé des commentaires de tous les fabricants de téléphones Android dans l’enquête de Wired, dont Samsung, Sony, Wiko, Xiaomi, OnePlus, Nokia, HTC, Huawei, LG, Motorola, TCL et ZTE. Business Insider n’a pas encore reçu de réponse de la part de tous, à l’exception de Google, qui a fourni cette déclaration à Business Insider :
“Nous aimerions remercier Karsten Nohl et Jakob Kell pour leurs efforts continus pour renforcer la sécurité de l’écosystème Android. Nous travaillons avec eux pour améliorer leurs mécanismes de détection afin de tenir compte des situations où un appareil utilise une autre mise à jour de sécurité au lieu de la mise à jour de sécurité suggérée par Google. Les mises à jour de sécurité sont l’une des nombreuses couches utilisées pour protéger les appareils Android et les utilisateurs. Les protections de plateforme intégrées, telles que le bac à sable d’applications, et les services de sécurité, tels que Google Play Protect, sont tout aussi importants. Ces couches de sécurité — combinées à l’immense diversité de l’écosystème Android — contribuent aux conclusions des chercheurs selon lesquelles l’exploitation à distance des appareils Android reste compliquée.”
Avec businessinsider
