Les réglages Android des fabricants de téléphones causent des problèmes de sécurité

La nature ouverte du système d'exploitation Android de Google signifie que les fabricants peuvent ajouter leur propre couche logicielle au téléphone, ce qui les aide à se démarquer du lot avec un look et des fonctionnalités différents. Pourtant, de nouvelles recherches montrent qu'une telle personnalisation peut également être responsable d'une multitude de faiblesses de sécurité qui pourraient rendre les téléphones plus vulnérables aux pirates.





Selon une étude menée par des chercheurs en informatique de la North Carolina State University, les modifications apportées par les fabricants au logiciel Android standard étaient responsables de plus de 60% des failles de sécurité découvertes dans les téléphones de différentes sociétés de combinés. UNE papier (pdf) sur l'œuvre doit être présenté mercredi au Conférence ACM sur la sécurité informatique et des communications à Berlin.

Nous avons été surpris par l'insécurité générale, dit l'un des auteurs, Xuxian Jiang , professeur agrégé d'informatique à l'université, qui étudie les logiciels malveillants mobiles. Jiang y voit une indication que certains fournisseurs de téléphones ne prennent pas assez au sérieux la sécurité et qu'ils ressentent une pression constante pour mettre de nouvelles fonctionnalités logicielles sur le marché.

Dans leur étude, les chercheurs ont examiné 10 smartphones Android ; cinq utilisaient des variantes de la quatrième génération de logiciels Android et cinq utilisaient la deuxième génération (entre les deux, Google a publié une version 3.2, également connue sous le nom de Honeycomb, destinée aux tablettes). Les chercheurs ont testé un combiné avec chacune des deux versions Android de Samsung, HTC, LG et Sony, y compris les populaires Samsung Galaxy S3 et HTC One X, ainsi que deux combinés de marque Google (le Nexus S et le Nexus 4, fabriqués par Samsung et LG, respectivement) qui ont principalement servi de cadres de référence, car ils n'incluent pas les mêmes skins logiciels personnalisés que ceux de nombreux autres téléphones Android.



Afin de déterminer quelles étaient les vulnérabilités de sécurité et d'où elles provenaient, les chercheurs ont d'abord séparé les applications chargées sur les smartphones en trois catégories, notant celles qui provenaient du projet Android Open Source de Google, qui ont été créées ou personnalisées par le fabricant de smartphones, et qui provenaient de programmeurs extérieurs.

Ils ont ensuite examiné les données et les fonctionnalités que les applications souhaitent utiliser, par exemple la possibilité d'accéder à vos photos ou de composer les numéros de téléphone de vos contacts, pour déterminer quelles applications ont demandé des autorisations qu'elles n'utilisaient pas réellement. Les applications avec plus d'autorisations qu'elles n'en ont besoin sont problématiques car elles peuvent mettre des données personnelles comme les noms d'utilisateur et les numéros de carte de crédit à un plus grand risque d'être compromise si cette application est piratée.

Les chercheurs ont découvert que 86 % des applications préchargées sur ces smartphones demandaient plus d'autorisations que nécessaire, et la plupart des applications dites sur-privilégiés avaient été ajoutées par les fabricants de smartphones dans le cadre de leurs processus de personnalisation. Parce qu'elles sont intégrées au système d'exploitation à un bas niveau, les applications ajoutées par les fabricants peuvent obtenir des autorisations d'accès plus importantes que celles créées par des développeurs d'applications externes.



Marc Rogers, chercheur principal en sécurité à la société de logiciels de sécurité mobile Lookout, affirme que le problème des applications trop privilégiées est commun aux développeurs d'applications en général, pas seulement aux fournisseurs spécifiques. Si vous regardez à travers le marché, il y a pas mal d'applications qui ont ce problème où le développeur de l'application a dit: 'Je demanderai autant d'autorisations que possible juste au cas où j'en aurais besoin', dit-il.

Les chercheurs ont également recherché des problèmes de sécurité qui pourraient permettre aux applications d'agir comme si elles étaient autorisées à faire des choses qu'elles ne sont pas autorisées à faire, ou qui pourraient permettre aux applications de partager des données utilisateur sensibles sans autorisation.

Dans l'ensemble, les chercheurs ont déterminé qu'entre 65 % et 85 % des 177 vulnérabilités de sécurité sur les smartphones Samsung, HTC et LG provenaient de personnalisations du fabricant ; 38% des 16 faiblesses rencontrées sur les smartphones Sony provenaient de cette source.



Rogers, qui a vu les personnalisations des fournisseurs produire des problèmes de sécurité dans le passé (comme un qui découle de la personnalisation par Samsung de l'écran de verrouillage du Galaxy S3), indique que, quelle que soit l'origine des problèmes, toute modification apportée au logiciel Android contribue à la fragmentation du système d'exploitation et peut introduire des vulnérabilités qui ne sont pas suivies par Google.

Les chercheurs de l'étude disent qu'ils ont essayé de contacter les fabricants de smartphones pour les informer des problèmes de sécurité qu'ils ont trouvés, mais tous n'ont pas répondu. Les fabricants de smartphones et Google n'ont pas répondu aux demandes de commentaires sur cette histoire.

Néanmoins, Jiang espère que l'étude aidera les vendeurs et les utilisateurs à reconnaître de tels problèmes de sécurité. Espérons que la prochaine génération de téléphones deviendra beaucoup plus sûre, dit-il.



cacher