Une faille menace la sécurité de millions de smartphones

La société Kryptowire a mis la main sur une série de failles dans la sécurité de bon nombre de modèles de smartphones tournant sous Android. Ces défauts permettraient à des hackers d’aller jusqu’à prendre le contrôle total du téléphone. Les constructeurs concernés ont annoncé que des patches correctifs étaient en préparation.

Ces brèches dans la sécurité auraient pu faire perdre tout contrôle à des millions de téléphones à travers le monde si des pirates s’y étaient infiltrés. Heureusement, ce sont des white hats qui ont mis la main dessus en premier, la société de cybersécurité Kryptowire a présenté les résultats de ses expériences lors d’une conférence à Las Vegas.

L’étude n’a pas encore été publiée mais nos confrères du site Wired ont pu approcher ses auteurs. Il semblerait que cette faille soit exploitable sous des conditions bien précises, elle ne concerne déjà que les smartphones sur lesquels une application a été installée sans passer par le Play Store.

Quatre marques sont dans le viseur

Les experts en sécurité informatique se sont penchés sur une dizaine de smartphones parmi les plus vendus sur le sol américain. Les appareils les plus vulnérables n’étaient autres des smartphones estampillés Asus, Essential, ZTE et LG. La raison de leur fragilité ? Ces constructeurs modifient le code source d’Android et créent ainsi des failles plus ou moins importantes. Interrogé par Wired, Angelos Stavrou, le PDG de Kryptowire explique que “beaucoup de personnes veulent ajouter leurs propres applications ou ajouter des lignes de codes au sein du système d’exploitation. Cela augmente la surface d’attaque.

Lors de leurs expériences, les auteurs de l’étude ont réussi à prendre le contrôle total d’un Zenfone V Live d’Asus, à faire des captures d’écran, activer la caméra et envoyer des SMS. Ils ont réussi à bloquer un LG G6 et sont parvenus à réinitialiser un Essential Phone avec les paramètres d’usine. Pour y arriver, les experts ont installé une application capable d’exploiter les failles de ces terminaux, sans passer par le Play Store. Impossible ensuite de détecter la présence du logiciel malveillant.

Les constructeurs s’attèlent à la tâche pour corriger les failles, LG a annoncé avoir “introduit des patches de sécurités” dans ses smartphones. ZTE, Asus et Essential ont, de leur côté, déclaré mettre tous les moyens à leur disposition pour régler le problème.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.