Des chercheurs ont analysé les surcouches logicielles de plus de 1700 smartphones Android. Résultat : c’est un véritable Far West qui permet à des éditeurs plus ou moins douteux de s’affranchir des garde-fous d’Android et de Google.
Ce n’est pas parce que vous n’achetez que des smartphones Android de grande marque et que vous téléchargez vos applications sur Google Play que vous êtes en parfaite sécurité. Car dans l’écosystème Android, il y a un angle mort énorme : celui des applications préchargées au niveau du firmware. Chaque constructeur peut en effet créer sa propre version d’Android, en y incluant toutes sortes de logiciels, que l’on regroupe généralement sous le terme de « surcouche ».
Le problème, c’est que personne ne sait vraiment qui fait quoi dans cette surcouche. Ces applications ne sont pas vérifiées par Google, étant donné qu’elles sont préinstallées et ne transitent pas par Google Play. De leur côté, les constructeurs ne donnent pas beaucoup d’informations. Les utilisateurs qui activent pour la première fois un smartphone Android ne savent pas ce qu’il contient réellement.
Un groupe de chercheurs vient d’analyser 82.501 applications préinstallées, récupérées dans les firmwares de 1742 terminaux issus de 214 fournisseurs. Résultat : c’est un vrai « Far West » avec des accès ouverts dans tous les sens, des failles de sécurité jamais patchées et des données personnelles transférées en douce. Les chercheurs ont même trouvé des malwares notoires dans ces firmwares, ce qui est un comble. L’étude, qui sera présentée en mai à l’occasion du symposium IEEE Security and Privacy, est assez large et complexe. En voici les points forts.
Des applications truffées de librairies tierces
L’étude révèle qu’environ un tiers des applications préinstallées intègre une librairie tierce susceptible de collecter des données. Ces librairies permettent aux développeurs d’insérer des publicités (« Advertisement »), de récupérer des données d’usage (« Mobile analytics ») et d’ajouter des fonctionnalités de réseaux sociaux (« Social Networks »).
Certaines librairies sont bien connues, comme le Facebook Graph Android SDK, que les chercheurs ont retrouvé dans 806 applications. Mais il en existe beaucoup d’autres qui le sont moins, comme Umeng, Fyber, Heyzap, Smaato, etc.
Des firmwares très permissifs
L’avantage avec les applications préinstallées dans les firmwares, c’est que le fournisseur peut leur accorder des accès sur-mesure aux différentes fonctionnalités du système d’exploitation. Dans le jargon des développeurs d’applications mobiles, on appelle cela des « custom permissions ». Ils permettent, par exemple, d’accéder à des fonctionnalités du système, du téléphone, du carnet d’adresses, de la messagerie, etc. D’après les chercheurs, ces accès spéciaux peuvent résulter d’accords commerciaux sous-jacents.
Les chercheurs ont répertorié et analysé 4845 accès spéciaux dans 1795 paquets logiciels récupérés auprès de 108 fournisseurs. Dans deux tiers des cas, ces accès concernent des logiciels du constructeur. Dans le reste, on trouve ceux des opérateurs ou des concepteurs de puces, des antivirus, des navigateurs, etc. En particulier, les chercheurs ont détecté six paquets logiciels signés par Facebook qui profitent chacun entre 2 et 8 accès spéciaux. Certains fournisseurs sont plus permissifs que d’autres, tels que Samsung, Huawei, HTC ou Sony, comme le montre le graphique suivant.
Les données personnelles en ligne de mire
L’analyse des applications préinstallées montrent qu’elles s’intéressent à un grand nombre d’identifiants. En analysant un sous-ensemble de 3154 paquets logiciels, les chercheurs ont répertorié 36 types de collectes potentiellement intrusives. Comme le montre le graphique ci-dessous, les applications préinstallées sont particulièrement friandes d’identifiants téléphoniques. Elles aiment également inspecter la liste des applications installées, les logs et les informations sur les connexions réseau. Ces informations sont particulièrement adaptées à la prise d’empreinte ou « fingerprinting », une technique qui s’est généralisée dans toute l’industrie informatique. « Ces résultats donnent l’impression que la collecte et la diffusion de données à caractère personnel (quel que soit le but recherché ou le consentement obtenu) sont non seulement omniprésentes, mais également préinstallées », soulignent les chercheurs.
Des malwares intégrés en douce
Une analyse manuelle de 158 applications a permis aux chercheurs de détecter la présence de logiciels malveillants ou dangereux tels que Rootnik, qui se fraye un accès administrateur sur le terminal pour installer d’autres applications, ou GMobi, qui siphonne tout un tas de données personnelles et permet aussi d’installer des applications. Dans la liste des applications douteuses, on retrouve également Adups, une application censée faciliter la mise à jour du firmware qui s’est révélée être une dangereuse porte dérobée pour des dizaines de modèles de smartphones.