Vous avez acheté un nouveau téléphone Android ? Et si je vous disais que votre tout nouveau téléphone peut être piraté à distance ? Presque tous les téléphones Android sont fournis avec des applications inutiles préinstallées par les fabricants, généralement appelés bloatware, et vous ne pouvez rien faire si une d’entre elles à une backdoor intégrée- et cela même si vous êtes attentif aux applications douteuses.
Et c’est exactement ce qu’ont démontré les chercheurs de la firme de sécurité mobile Kryptowire durant la conférence DEF CON de ce vendredi.
Les chercheurs ont révélé des détails de 47 vulnérabilités différentes, profondément ancrées dans le micrologiciel et les applications par défaut (préinstallées et souvent impossible à supprimer) de 25 produits Android. Des vulnérabilités qui pourraient permettre aux hackers d’espionner les utilisateurs et de remettre leurs appareils à l’état d’usine, plaçant des millions d’appareils Android sous la menace d’un piratage.
Pas moins de 11 de ces smartphones vulnérables sont fabriqués par les entreprises Asus, ZTE, LG et Essential Phone, et sont distribués par des revendeurs américains tels que Verizon et AT&T.
Parmi les autres grandes marques d’appareils Android, on trouve Vivo, Sony, Nokia et Oppo, ainsi que des fabricants plus petits comme Sky, Leagoo, Plum, Orbic, MWQ, Doogee, Coolpad et Alcatel.
Certaines des vulnérabilités découvertes par les chercheurs pourraient même permettre aux hackers d’exécuter des commandes arbitraires en tant qu’utilisateur du système, effacer toutes les données d’un appareil, bloquer l’accès à l’utilisateur, accéder au micro et autres fonctions de l’appareil, obtenir toutes les données comme les emails et les messages, lire et modifier les messages textes, envoyer des messages textes et plus encore- tout cela sans que l’utilisateur ne le sache.
« Toutes ces vulnérabilités sont déjà intégrées à l’appareil. Elles sont livrées avec votre téléphone tout neuf », a déclaré Angelos Stavrou, PDG de Kryptowire. « Il est important de le souligner car les consommateurs pensent qu’ils sont seulement exposés s’ils téléchargent du contenu douteux. »
Par exemple, les vulnérabilités dans le ZenFone V Live d’Asus peuvent amener la prise de contrôle totale du système, permettant aux attaquants de prendre des captures d’écran et d’enregistrer l’écran de l’utilisateur, passer des coups de fil, d’espionner des messages, etc.
Kryptowire, dont les recherches sont financées par le département de la sécurité intérieure américain, explique que ces vulnérabilités résident dans la nature ouverte du système d’exploitation d’Android qui permet à des tiers comme les fabricants de produits et les revendeurs de modifier le code et créer des versions complètement différentes d’Android.
Kryptowire est aussi la firme de sécurité qui, à la fin de l’année 2016, avait découvert la backdoor préinstallée dans plus de 700 millions de smartphone Android et qui envoyait en toute discrétion tous les messages textes, historiques d’appels, listes de contacts, historiques de position et données des applications en Chine toutes les 72 heures.
Dans une démarche responsable, Kryptowire a informé Google de la présence de ces vulnérabilités ainsi que les partenaires d’Android affectés, certains ayant déjà patché les problèmes alors que d’autres travaillent encore à leur résolution.
Néanmoins, il faut noter que puisque le système d’exploitation Android lui-même n’est pas vulnérable aux problèmes révélés, Google ne peut pas faire grand-chose sur ce point, car l’entreprise n’a pas de contrôle sur les applications tierces préinstallées par les fabricants et les revendeurs.