Depuis une mise à jour récente de plusieurs de ses terminaux Android (notamment les HTC EVO 3D, EVO 4G et Thunderbolt), HTC a introduit une suite d'outils qui collectent des informations sur le smartphone afin de permettre à HTC d'améliorer ses smartphones.

Le problème est que cette suite logicielle comporte une faille de sécurité énorme. N'importe quelle app tierce peut accéder à une flopée impressionnante d'informations personnelles stockées sur le smartphone, et ce simplement en demandant la permission "android.permission.INTERNET". Autrement dit l'utilisateur pensera en téléchargeant l'app tierce que celle-ci ne fera qu'utiliser sa connexion Internet, alors qu'en réalité elle pourra accéder à vos données en exploitant la faille ouverte par HTC.

Voici quelques informations auxquelles les apps tierces peuvent accéder grâce à cette faille:

• La liste des comptes de l'utilisateur, y compris les adresses mails ;
• La position GPS de l'utilisateur ainsi qu'un historique limité des précédentes positions ;
• Les numéros de téléphone présents dans l'historique du téléphone ;
• Les données des SMS à savoir les numéros de téléphones et les contenus encodés des SMS (on ne sait pas encore s'il est possible de les décoder) ;
• Les logs du système qui comprennent de nombreuses informations sur les apps en cours d'exécution, et probablement des adresses mail, des numéros de téléphones et autres informations privées ;
• Les notifications de l'OS ;
• Information réseau, y compris l'adresse IP ;
• Liste des apps installées ;
• etc.

Et voici un proof of concept ci-dessous.

Si je vous parle de cette affaire c'est pour vous montrer que la liberté totale à des inconvénients, des inconvénients qu'on est peut-être prêts à tolérer sur ordinateur mais sur smartphone beaucoup d'utilisateurs préfèrent être encadrés mais en sécurité.

Les pirates mal intentionnés peuvent ici tirer partie de deux faiblesses d'Android. La première est que les apps tierces ne tournent pas dans une sandbox sécurisée comme sur Windows Phone 7. La seconde est qu'il n'y a aucun contrôle a priori sur l'Android Market. A contrario sur Windows Phone 7 il y a un contrôle a priori de chaque app, mais surtout les apps tierces tournent dans une sandbox ultra sécurisée isolée du reste du système et des autres apps tierces et qui ne peut pas exécuter de code natif, impossible donc a priori d'accéder à des informations n'appartenant pas à l'app, même si aucun système n'est bien sûr infaillible certains le sont plus que d'autres.

Le pire est que la seule solution pour corriger cette faille est d'attendre une mise à jour de HTC ou (d'après ce que j'ai compris, je ne connais pas très bien Android) avoir accès à l'utilisateur root de l'OS pour supprimer le package.

teddybox

L'inconvéniant du droit de modification de l'OS par les constructeurs.

De quoi pousser un peu plus les plus frilleux en matière de sécurité sur Windows Phone

octobre 03, 2011, 22:22:39 pm

stef

"A contrario sur Windows Phone 7 il y a un contrôle a priori de chaque app..."
Faut bien insister sur le "a priori" puisque la news précédente est sur le fait que des émulateurs illégaux se retrouvent sur la marketplace !!!

octobre 04, 2011, 12:34:36 pm

Pr. Thibault

"a priori" est bien sûr à prendre dans le sens "contraire de a posteriori", et non pas dans le sens "normalement"... Il y a un contrôle a priori, c'est une certitude, après il n'est pas infaillible ça va sans dire.

octobre 04, 2011, 13:59:26 pm