👦🏻 📚 🥌 Personne ne se soucie de la sécurité des téléphones Android déverrouillés 📃 🎁 🏅

Il ne peut pas être Amazon participe au lancement du produit phare, qui a une porte dérobée, et envoie secrètement toutes vos informations personnelles à un serveur incompréhensible en Chine. Bien entendu, leurs développeurs ou leur partenaire de production auraient détecté ce comportement lors d'un audit de sécurité de routine. Cela ne peut tout simplement pas arriver, non?

Personne ne se soucie de la sécurité des téléphones Android déverrouillés qui ne sont pas liés à un fournisseur, vendus aux États-Unis (et dans de nombreuses autres régions). Les OEM qui fabriquent et fournissent des téléphones Android s'en fichent; Google, le fournisseur de la plate-forme Android, s'en fout; des détaillants comme Amazon et Best Buy, qui vendent des millions de téléphones Android chaque année, s'en foutent. Pire encore, l'utilisateur moyen ne se soucie pas de la sécurité informatique jusqu'à ce qu'il se passe quelque chose de mal, c'est pourquoi tout se passe.

Cela a toujours été le cas avec les appareils Android, mais Google a commencé à prendre cette situation plus au sérieux à l'été 2015, lorsque le bogue Stagefright a été largement signalé dans les médias. Les experts en sécurité affirment que les appareils Google, Nexus et Pixel, se rapprochaient d'iOS selon les normes de sécurité, mais en général, la situation s'aggrave lorsque la plupart des consommateurs achètent des smartphones avec des logiciels non pris en charge par Google.

Nous avons rappelé ce grave problème quand Amazon a dû rappeler le BLU R1 HD , leur téléphone le plus vendu, après qu'un spécialiste de la sécurité y ait découvert une porte dérobée cachée grâce à une "combinaison de curiosité et de chance de coïncidence". Ces appareils, ainsi que certains autres modèles BLUcollecté et transmis des informations personnelles à un serveur en Chine toutes les 24 à 72 heures. Ce comportement n'était pas perceptible par l'utilisateur. Les données comprenaient la position exacte de l'appareil, les messages texte, les listes de contacts, les journaux d'appels, les applications installées, etc.

Le directeur de BLU a déclaré à NYTimes que "de toute évidence, nous ne savions rien à ce sujet" et a admis une erreur. Et même s'il est bon qu'elle l'ait réparé si rapidement, il est très inquiétant que ni BLU ni Amazon ne l'aient pris par eux-mêmes depuis le lancement du téléphone en juillet 2016.

Comment cela a-t-il pu arriver?

Honnêtement, je ne peux pas imaginer comment un tel montant pourrait entrer sur le marché et passer inaperçu pendant si longtemps, j'ai donc fait quelques recherches. J'ai travaillé pour des OEM Android, j'ai une compréhension commune que toutes les versions de logiciels avec les services mobiles de Google doivent réussir le test de compatibilité de la suite de tests (CTS). Une courte conversation avec des experts en sécurité informatique m'a ouvert les yeux sur la persistance de graves problèmes de sécurité.

Google maintient une liste noire de logiciels médiocres qui ne peuvent pas être livrés avec les téléphones Android. J'ai été surpris que Google et BLU soient au courant de l' une des vulnérabilités associées à l'application ADUPS dans les puces Mediatek en 2015 - un an avant la sortie de BLU R1 HD. Équipe de sécurité Red Nagaa trouvé la vulnérabilité le 1er mars 2015 et a tenté à plusieurs reprises de l'éliminer, mais a dû faire face au fait que " BLU ne dispose pas d'un service de sécurité et ne peut donc pas aider ".

Après le silence de Mediatek et le manque d'aide BLU, Google a finalement accepté le correctif dans CTS pour vérifier la prise système ADUPS. Cela aurait dû résoudre le problème, mais après cela, Mediatek a simplement changé le nom du socket pour tromper la vérification CTS.

Autrement dit, CTS de Google ne détecte pas les vulnérabilités qu'il ne connaît pas. Et Mediatek est un récidiviste qui contourne périodiquement le test CTS, et certains experts de l'industrie de la sécurité l'appellent le pire fabricant de chipsets.

Bien que Mediatek ait une mauvaise réputation en matière de sécurité, il remporte toujours des concours de développement car il fait tout le travail difficile pour les partenaires OEM qui choisissent leurs plates-formes. Si vous souhaitez lancer rapidement et à peu de frais un appareil sur Android, Mediatek est souvent une solution abordable.

Cela peut-il être évité à nouveau?

Nous devons tous nous inquiéter des portes dérobées cachées, mais un problème plus grave est celui des vulnérabilités connues qui ne sont pas corrigées dans la plupart des appareils Android. Google essaie de résoudre ce problème en y prêtant attention. La société publie des revues de sécurité mensuelles, des bulletins de sécurité Android et oblige les OEM à afficher le niveau des correctifs de sécurité Android dans les paramètres de l'appareil.

Après que la FTC a forcé HTC à corriger les vulnérabilités connues en 2013 , les OEM et les opérateurs sans fil ont pris certaines mesures, et la plupart des appareils phares vendus dans les magasins reçoivent régulièrement des mises à jour. Mais tous les appareils ne les reçoivent pas et il n'y a aucune garantie que les appareils seront pris en charge pendant une longue période.

Le progrès ne survient que lorsque quelque chose se casse, et les médias commencent à baiser Google et ses partenaires. Par exemple, le Stagefright déjà mentionné a forcé la FCC et la FTC à unir leurs forces pour «mieux comprendre et, par conséquent, améliorer la sécurité des appareils mobiles», mais les résultats de cette étude n'ont pas encore été publiés.

Je peux prédire à quelle conclusion ils arriveront dans leur rapport. Les OEM ne sont pas incités à investir dans la prise en charge des correctifs de sécurité des appareils après leur lancement. La publication des mises à jour prend du temps et de l'argent, et cette direction n'affecte pas la prise de décision des consommateurs. La plupart des fabricants OEM ne veulent pas dépenser d’argent supplémentaire pour améliorer la sécurité, tant que les consommateurs ne veulent pas payer pour eux.

Qui peut résoudre ce problème?

C'est toute la chaîne d'approvisionnement qui est à blâmer, mais dans un avenir proche, nous ne devrions pas nous attendre à une amélioration. Quelques réflexions sur ce que différents joueurs pourraient faire pour améliorer la sécurité des téléphones Android.

Google : maintient une liste de bons et mauvais équipementiers sur la façon dont ils maintiennent la sécurité et publient les mises à jour, et il est dit que honte publiquement aux pires fabricants - mais ce faisant, cela nuira à la relation avec les partenaires. Si Google veut vraiment améliorer la sécurité, il pourrait trouver un moyen de dire aux consommateurs quels OEM, fabricants de composants et autres partenaires ne sont pas bons pour protéger les données des utilisateurs. Par exemple, vous sentez-vous en sécurité lorsque vous achetez des produits BLU ou un appareil avec une puce de Mediatek? Google peut modifier sa prochaine spécification de cette façonDocument de définition de compatibilité Android , afin d'exiger la livraison d'appareils avec un correctif de sécurité du niveau approprié, et de maintenir ces appareils pendant un certain temps.

OEM : Lorsque j'ai travaillé pour Huawei, j'ai essayé de prêter attention aux problèmes de sécurité en travaillant avec l'équipe internationale Honor sur le programme de politique de mise à jour logicielle de 24 mois . À mon grand étonnement, l'équipe marketing n'a pas voulu le mentionner lors du lancement du produit, mais je suis fier qu'à ce moment nous sommes devenus le seul OEM à avoir des règles similaires. Ils ne sont pas parfaits, mais mieux que rien. Seules les garanties Googlepublier des mises à jour liées à la sécurité 3 ans après le lancement des appareils Pixel et Nexus. J'aimerais que plus d'OEM prennent cette initiative et développent leurs propres règles de mise à jour logicielle.

Détaillants : Amazon a fait ce qu'il fallait en suspendant le BLU R1 HD, mais selon cette logique, ils doivent bloquer les autres appareils de vente avec des problèmes de sécurité connus. Lors du choix d'un appareil dans la boutique Amazon, il est facile pour le consommateur de savoir quels réseaux il prendra en charge, mais il n'y a aucune information sur le niveau de sécurité qu'il offre.

Navigateurs technologiques: Continuez à signaler un mauvais comportement OEM Android. Concentrez votre attention dans les revues sur la façon dont le logiciel est pris en charge et l'historique de ses mises à jour. Éduquez votre public afin que les gens puissent prendre des décisions d'achat éclairées.

Consommateurs : je vous exhorte à voter avec votre portefeuille et à acheter des appareils auprès d'entreprises qui prennent votre sécurité au sérieux, mais leur choix est trop limité. Outre les téléphones Nexus précédents et le Pixel actuel, il n'y a pas beaucoup d'options disponibles pour les personnes qui apprécient leur confidentialité et leur sécurité.

Personne ne se soucie de la sécurité des téléphones Android déverrouillés

Comment cela a-t-il pu arriver?

Cela peut-il être évité à nouveau?

Qui peut résoudre ce problème?

More articles: