lundi 3 octobre 2011

Une faille de sécurité majeure affecte certains téléphones HTC

Dans la couche HTC Sense présente sur les téléphones de la marque taïwanaise, une faille affecte certains smartphones dont l'EVO 3D. Les informations sont très nombreuses et facilement accessibles.

Android est souvent pointé du doigt de par son manque de sécurité. Des entreprises qui disposent de leur propre application anti-virus (ou anti quelque chose) sur l'Android Market trouvent régulièrement des failles dans le système d'exploitation de Google. Sous cet air de manque de sécurité se cache un problème essentiel : la part de marché occupée par Android. Tout comme Windows, le système d'exploitation est victime de son succès. En effet, une personne malveillante aura beaucoup plus intérêt à attaquer Android, car les cibles potentielles sont beaucoup plus nombreuses. Cela ne dédouane pas les brèches du système, mais montre que derrière ces annonces chocs, il y a souvent des personnes qui y trouvent un intérêt (souvent financier).

Les modèles concernés se trouvent principalement aux Etats-Unis (Thunderbolt, EVO 4G, EVO Shift 4G ?, MyTouch 4G Slide ?, Vigor ?), mais l'EVO 3D et peut-être même les Sensation sont également infectés. Cette faille donne potentiellement accès à :

  • La liste des comptes utilisateur (y compris l'adresse mail et le statut de synchronisation)
  • La dernière localisation connue (avec le GPS ou triangulation)
  • Historique très limité des derniers emplacements
  • Numéros de téléphone du journal d'appels
  • Les SMS : contenu (aucune certitude quant à la possibilité de le déchiffrer) et numéros de téléphone
  • Les logs du système : commandes dmesg et logcat

Dans les récentes mises à jour de Sense, HTC a introduit des outils qui collectent des informations. L'utilisateur ne possède aucun droit d'accès et devient donc victime d'une très mauvaise opération de la part de l'entreprise taïwanaise. Il lui est seulement possible de désactiver l'envoi du fichier sur les serveurs de l'entreprise, mais la collecte a toujours lieu. Pour avoir accès à l'ensemble de ces informations, il suffit simplement qu'une application dispose de la permission android.permission.INTERNET. Sachant que les smartphones sont ultra-connectés au web, les cibles potentielles et invisibles peuvent être nombreuses.

L'intérêt du mécanisme des permissions est de n'autoriser les applications qu'à avoir accès à une certaine partie des fonctionnalités du téléphone. Connaissant le thème, la personne peut ainsi décider si l'accès au GPS à un Scrabble est ou non normal par exemple. Mais ici, elle peut voir beaucoup plus d'informations à cause du HTCLoggers. Outre les informations préalablement citées, des informations sur la batterie, le processeur, l'adresse IP, la version d'android, les notifications affichées… sont aussi collectées par cette application qui tend les bras aux personnes malveillantes.

Selon Android Police, le premier à avoir relayé l'information, une application demandant la permission Internet bénéficie “gratuitement” de :

  • ACCESS_COARSE_LOCATION : Emplacement du téléphone par triangulation ou WiFi (peu précis)
  • ACCESS_FINE_LOCATION : Emplacement du téléphone avec le GPS (très précis)
  • ACCESS_LOCATION_EXTRA_COMMANDS : Créer des sources de localisation fictives à des fins de test
  • CESS_WIFI_STATE : Informations sur les réseaux WiFi
  • BATTERY_STATS : Statistiques d'usage de la batterie
  • GET_PACKAGE_SIZE : Taille utilisée par un package
  • GET_TASKS : Information à propos des tâches qui tournent en tâche de fond
  • READ_LOGS : Accès aux logs (trace) de bas niveau du système
  • READ_SYNC_SETTINGS : Informations sur les options de synchronisation
  • READ_SYNC_STATS : Statistiques sur la synchronisation
  • DUMP : Pile d'exécution des services du système

Voici une démonstration de la faille :

A l'heure actuelle, la seule méthode pour éradiquer cette faille consiste à supprimer l'APK nommée htcloggers. Contacté par HTC depuis le 24 septembre dernier, aucune annonce officielle n'est pour l'instant donnée. La seule réponse est : qu'elle arrivera dès [qu'elle aura pu] déterminer la véracité de l'annonce et les mesures, s'il y a lieu, à prendre. Sachant que le bad buzz s'amplifie d'heure en heure, des informations devraient très prochainement arriver.

Aucun commentaire:

Enregistrer un commentaire