La faille CVE-2016-0728 vient d’être rendue publique, mais existe depuis 2012. Elle toucherait de nombreux appareils Android, mais également des ordinateurs sous Linux. Cela s’explique par l’utilisation du même noyau (kernel en anglais) par Android et Linux. Plus exactement, la faille a été découverte au sein des noyaux en version 3.8 et supérieure. Heureusement, sous Linux et Android, il existe des protections, notamment depuis Lollipop.
Android suffisamment protégé ?
Ainsi, comme le précise Adrian Ludwig, ingénieur sécurité chez Google, les appareils sous Android 5.0 Lollipop ou 6.0 Marshmallow ne sont pas vulnérables, grâce à l’utilisation du module de sécurité SELinux qui empêche les applications tierces d’accéder à la faille. Les anciennes versions d’Android peuvent donc être vulnérables, toutefois, rares sont les appareils sous Android 4.4 KitKat à être équipé d’un noyau en version 3.8 ou supérieure. La portée de la faille ne serait donc pas si élevée que ça sous Android même si les chercheurs en sécurité indiquent qu’il existe des moyens de contourner ces protections.
Un patch déjà en ligne, mais pas appliqué
Google a mis en ligne un patch de sécurité dans AOSP, accessible à tous les partenaires. Celui-ci sera intégré à la mise à jour de sécurité Nexus mensuelle en date du 1er mars 2016. On émet donc des doutes sur la capacité rapide des constructeurs à proposer ce patch même si les principaux OEM s’y sont engagés lors de l’épisode de la faille Stagefright, l’été dernier.
Les plus curieux pourront se rendre sur l’article de blog du site de Perception Point qui détaille la faille. En quelques mots, la faille permet de prendre assez facilement les accès root sur un appareil vulnérable, pour ensuite avoir accès à l’ensemble des données. La faille ne semble toutefois pas exploitable à distance et requiert l’installation d’une application tierce. Pour le moment, la faille n’a pas encore été détectée sur Internet et semble donc confinée au laboratoire des chercheurs.
Quand on essaie des launcher comme Nova Launcher, on se demande pourquoi les compagnies ne font pas pareil: une simple application qu'on pourrait facilement désinstaller. On se retrouverait alors sous une version pure d'android. Pour l'instant, faisable que sur Nexus, c'est pour ça que ça sera mon prochain téléphone (dans 2-3 ans vu que je me suis acheté un G4 y'a quelques mois)
La faille est corrigée dans l'AOSP mais ne sera intégrée qu'à la màj de Mars ? C'est une erreur ou ça prend plus de temps que ce que j'imaginais ?
Pour une fois, oui, c'est une vraie faille, et une belle. Une fois n'est pas coutume, elle est dans le noyau Linux. Cela dit, les implémentation récentes d'Android (celles qui activent SELinux, je crois que c'est le cas depuis JB, mais LL c'est certain) rendent la faille énormément plus complexe à exploiter que sur un PC Linux (pas d'exploit disponible pour l'instant il me semble).
5 ans, cela me parait la moindre des choses. A l'époque des simples téléphones portables, on pouvait s'en foutre qu'ils soient mis à jour une seule fois ou jamais. Mais désormais on n'est plus dans ce cas de figure, ces terminaux sont devenus de véritables petits ordinateurs qui sont de plus en plus sollicités pour des opérations sensibles. Maintenant, comme cela été dit, sans législation contraignante (et à l'avantage des consommateurs) les fabricants de terminaux continueront sans doute à en avoir rien à foutre (jusqu'au jour peut-être où il y aura tellement de victimes qu'ils seront obligés de réagir).
oui à la manière d'un WP !
oui 10 ans même, a mon avis ils vont se rouler par terre s'ils lisent ta proposition...
une pensée émue pour tous les terminaux sous GB qui sont encore très nombreux et qui ne sont plus mis à jour depuis longtemps par leur fabriquant...
Oui un Launcher super optimisé qui change ton téléphone
La solution serait de ne pas faire de surcouche, de juste préinstaller quelques applications propres au constructeur pour ajouter des fonctionnalités et ce sera déjà beaucoup plus simple pour les mises à jour
D'où l'idée de leur imposer cela au travers d'une loi vu qu'ils ne feront rien s'ils n'y sont pas obligés, mais bon ils vont encore pleurer en disant que ça va leur coûter cher (ils n'ont qu'à pas sortir 50.000 modèles différents chaque mois) que du coup ça va diminuer leurs bénéfices (pourtant énormes) et qu'ils vont devoir licencier (pour maintenir à la fois leurs bénéfices et les dividendes des actionnaires) blablabla et nos députés et sénateurs étant souvent à la botte des lobbies industriels ça ne risque pas d'arriver, mais en effet ça ne coûte rien de rêver un peu ;-)
On peut toujours rêver, les constructeurs s'en fichent royalement, ...
Il faudrait une loi obligeant les fabricants (et les opérateurs qui ajoutent leur surcouche) à maintenir les patchs de sécurité pendant 5 ans
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix