Lors de la conférence sur la sécurité de Hack in the Box à Amsterdam, les chercheurs Karsten Nohl et Jakob Lell de Security Research ont présenté une analyse inverse du code du système d'exploitation de centaines de smartphones Android commercialisés ces deux dernières années. L'installation du correctif de sécurité pour chaque périphérique a été étudiée: ils ont trouvé la «porte de correctif»: Dans certains cas, certains fournisseurs informent les utilisateurs que des correctifs de sécurité ont été installés à toutes les dates spécifiques, mais ils ne sont pas réellement fournis. , C'est juste une fausse notification, donc ces appareils sont très vulnérables aux pirates.
"Nous avons constaté qu'il y a une différence dans le nombre de failles entre la réparation réelle et l'affirmation du vendeur que la réparation a été achevée", a déclaré le chercheur de renom, le fondateur de SRL, Nohl, dans le pire des cas. Il est temps de corriger la vulnérabilité. »Certains fournisseurs modifient la date de mise à jour du système sans correctif.Pour des raisons de marketing, ils fixent simplement la date d'installation du correctif à une heure précise, juste pour être sûrs.
Ignorer sélectivement
SRL a compté chaque mise à jour de sécurité du système Android en 2017 et testé le firmware de plus de 1200 smartphones de plus d'une douzaine de fabricants de smartphones, tels que Google, Samsung, Motorola et HTC, ainsi que ZTE. TCL et d'autres fabricants émergents ont constaté qu'en plus des modèles Pixel et Pixel 2 de Google et d'autres modèles, même les plus grands fabricants internationaux ont parfois menti en disant qu'ils avaient installé une mise à jour de correctif qui n'est pas encore disponible. Le record du fabricant est encore pire.
M. Nohl a souligné qu'il s'agit là d'un comportement plus grave que de renoncer aux conséquences des mises à jour et qu'il est devenu un phénomène courant dans le domaine des smartphones, en fait il n'a pris aucune mesure pour dire aux utilisateurs de réparer les failles. Ce genre de «faux» sens de la sécurité: «Nous avons constaté que plusieurs fournisseurs n'avaient pas installé de correctifs, mais ils ont changé la date de la dernière mise à jour du système: c'est une tromperie intentionnelle mais pas universelle.
Nohl estime que la situation la plus courante est que les fabricants de haut niveau comme Sony ou Samsung vont manquer une ou deux mises à jour de patch en raison de certains accidents, mais différents modèles ont des situations différentes: par exemple, Galaxy 2016 de Samsung Le modèle J5 indiquera clairement à l'utilisateur quels correctifs ont été installés et ceux qui n'ont pas été mis à jour.Toutefois, sur le Galaxy J3 2016, Samsung a affirmé que tous les correctifs ont été publiés, mais l'enquête a révélé que 12 clés manquaient encore. La mise à jour
"Étant donné qu'il s'agit d'une différence de modèle caché, il est presque impossible pour les utilisateurs de comprendre quelles mises à jour ils ont réellement installées", a déclaré Nohl. La mise à jour de l'application SnoopSnitch pour la plate-forme Android permet aux utilisateurs d'entrer leur code de téléphone portable pour vérifier l'état actuel de la mise à jour de sécurité à tout moment.
Différents fournisseurs
Après avoir évalué les produits de chaque fournisseur, SRL Labs a produit les graphiques suivants, qui classent les fabricants de smartphones en trois catégories: la classification est basée sur le degré correspondant de leurs nombres respectifs de patchs externes et d'installations réelles en 2017. , Y compris les modèles qui ont reçu au moins une mise à jour en octobre 2017. Les principaux fournisseurs Android, y compris Xiaomi, Nokia, ont une moyenne de 1 à 3 patch 'perdus', tandis que HTC, Motorola, LG et Huawei ont 3 Pour les 4 patchs 'perdus', TCL et ZTE se classaient en dernier, le nombre de patchs perdus dépassait 4. Le nombre de patchs mis à jour par Google, Sony, Samsung, etc. est inférieur ou égal à 1.
SRL a également souligné que les fournisseurs de puces sont l'une des raisons de l'absence de correctifs: par exemple, les modèles utilisant des puces Samsung ont rarement des problèmes à ignorer discrètement les mises à jour, tandis que les puces MediaTek ont un patch manquant moyen de 9,7. , il est probable qu'en raison de l'utilisation de puces moins chères, la probabilité d'avoir des correctifs manquants est plus élevée et que les failles apparaissent au niveau de la puce et non au niveau du système. Le résultat est que les smartphones moins chers qui fournissent des puces aux fournisseurs bas de gamme continuent le problème du 'patch manquant' Après notre vérification, si vous choisissez un produit moins cher, alors dans l'écosystème Android, Il sera dans une position moins respectée. "Nohl a dit.
Après que le magazine "Connecting" a contacté Google, Google a apprécié la recherche de SRL, mais a répondu que certains des appareils analysés par SRL peuvent ne pas être certifiés par Android, ce qui signifie qu'ils ne sont pas limités par les normes de sécurité de Google. Les téléphones intelligents Android ont des fonctionnalités de sécurité, même en l'absence de correctifs, mais les vulnérabilités de sécurité sont également difficiles à résoudre. Les fonctionnalités vulnérables sont simplement supprimées plutôt que réparées, ou certains téléphones n'ont pas cette fonctionnalité en premier lieu.
"Les mises à jour de sécurité sont l'un des nombreux niveaux de protection pour les appareils et utilisateurs Android", a déclaré Scott Roberts, responsable de la sécurité des produits Android, dans un communiqué publié dans le magazine Wired. Les systèmes de protection tels que les sandbox d'application et les services de sécurité de Google Play Protect sont tout aussi importants: ces approches de sécurité multicouches associées à la diversité de l'écosystème Android ont conduit les chercheurs à conclure que les appareils Android sont éloignés Le développement est toujours plein de défis.
En réponse à la conclusion de Google selon laquelle le fournisseur manquait de correctifs en raison de la suppression des fonctionnalités vulnérables, Nohl a rétorqué que cette situation n'est pas commune et que la probabilité d'occurrence n'est pas élevée.
Impact limité des correctifs manquants
Étonnamment, Nohl est d'accord avec une autre des revendications de Google: Attaquer les téléphones Android avec des correctifs manquants n'est pas une tâche facile, même certains téléphones Android sans mise à jour sont plus largement disponibles dans le système. Sous la protection des mesures de sécurité, les logiciels malveillants ont encore du mal à exploiter les vulnérabilités, telles que les bacs à sable qui ont commencé à apparaître dans Android 4.0 Lollipop, limitant la probabilité que des programmes malveillants accèdent aux périphériques.
Cela signifie que la plupart des pirates informatiques qui utilisent certaines «vulnérabilités» pour prendre le contrôle d'un appareil Android doivent exploiter une série de vulnérabilités, non seulement en raison d'un patch manquant, mais aussi parce que l'attaque est réussie. Certains correctifs peuvent toujours compter sur les autres fonctions de sécurité du système pour se défendre contre la plupart des attaques.
Par conséquent, Nohl a déclaré que les appareils Android sont plus faciles à utiliser, comme ceux qui apparaissent sur le Google Play Store, ou les applications installées dans des boutiques d'applications non officielles: «Les utilisateurs ont installé des logiciels piratés ou malveillants. , il est plus facile d'être une cible pour les pirates.