Commentaires : Les smartphones Android embarquant un processeur Snapdragon touchés par des failles de sécurité

Des chercheurs ont mis à jour près de 400 vulnérabilités dans les puces du constructeur américain, installées sur plus d’un milliard de smartphones dans le monde.

A quand les plus plates excuses de Qualcomm ?

2 J'aimes

« utilisés par des hackers malintentionnés pour pénétrer dans le smartphone » … « Il leur suffirait seulement de convaincre l’utilisateur d’installer une application agissant comme un Cheval de Troie pour accéder à l’ensemble du smartphone. »

C’est valable pour n’importe quel smartphone tournant sur n’importe quel SOC il me semble…

2 J'aimes

rien que 400 ? comme quoi plus t’es gros et moins t’en fais en pensant passer à travers ! Intel est rattrapé sur cette superbe perf.

<trump mode>
Tous les smartphones Snapdragon devraient être interdits car ils présentent un risque pour la sécurité du pays.
</trump mode>
Plus sérieusement, même si je connais la réponse que l’on va me faire, j’ai du mal avec « hacker malintentionné ». Cela ressemble à un pléonasme. S’il est bien intentionné, ce n’est plus un hacker mais un chercheur en sécurité non ?

2 J'aimes

Houla non! Contrairement à l’usage qui en est fait dans 99% des articles journalistiques et films, hacker ne signifie pas pirate (donc oui ce terme est très mal employé dans l’article Clubic en haut de cette page).

Le mot hacker vient de quelqu’un trop accroché (hooked) à sa passion pour s’en décrocher; mais des journalistes ont pensé que « hacker » = « hook » = « pirate des mer » donc pirate informatique. Un gros raté.
Les premiers hackers étaient des… bidouilleurs de modèles réduits électriques de trains, pour les rendre plus rapide sur des circuit, dans des compétitions de vitesse vs stabilité (et même avant, de fermiers ayant particulièrement optimisés leur mouvements dans les champs). Rapport au piratage? Aucun…
Les premiers hackers informatiques sont apparus dans des universités US comme Berkeley et le MIT. Ils avaient accès à l’unique ordinateur du département informatique après les cours. Gêné par l’usage mono-utilisateur de l’ordinateur, ils y ont ajouté le support du multi-utilisateur (avant : on mettait les cartes trouées, on allumait l’ordinateur; après : ordi allumé, un utilisateur pouvait s’y ajouté et lancer un nouveau programme). Rapport au piratage? Aucun…
Puis ils ont vu que si un programme plantait, il plantait la machine pour tout le monde, perdant les données de tous. Donc ils ont ajouté des sécurités contre cela, afin que chacun ne puisse toucher que ses propres données. Rapport au piratage? Aucun, bien au contraire.

Bref : les hackers ne piratent pas les ordinateurs et ne s’attaquent pas à la sécurité informatique, ils l’ont inventé! Les développeurs de Unix, puis Linux, Firefox etc., ainsi que pas mal d’ingé des jeux vidéos (surtout ceux qui étaient des demomakers) et O/S sont des hackers (accros aux ordinateurs, essayant d’en faire toujours plus avec les limites données). Sans cet état d’esprit, on n’aurait pas les jeux s’améliorant d’une année à l’autre sur une même console par exemple : le but est d’être le meilleur sur un matos donné.
Seule une petite portion des hackers sont des pirates. Et seuls une partie des pirates sont assez bons pour être des hackers.

C’est comme si le public utilisait le mot « conducteur » en signifiant « chauffard qui a écrasé et tué du monde ». Rien à voir pour 99,99% des conducteurs et des hackers, c’est une mauvaise compréhension du terme original qui s’est hélas propagée dans le journalisme puis le grand public n’y connaissant rien.

2 J'aimes

comme tous les constructeurs font leurs surcouche et pas de maintient des update en gros la majorité resteront sensibles aux attaques.

S’excuser pour des bugs ?

Soyons sérieux, si on faisait ça, les informaticiens passeraient les 9/10 de leur vie à s’excuser.

4 J'aimes

Ils ont regardé Qualcomm parce que c’est le plus connu. S’ils avait regardé ailleurs ils en auraient pas trouver moins…

C’est surement à cause des chinois…

Et combien de ces bugs sont des backdoors volontairement mise en place ?
Vue que le Patriot Act oblige les entreprises US à intégré des backdoors dans leur produits, ça ne m’étonnerais pas que certains de ces « bugs » soit des ouvertures volontaires, après tout une backdoor doit être difficilement détectable pour que des pirates n’en profitent pas, donc beaucoup doivent se faire passé régulièrement pour de simple bugs au yeux de ce genre d’analystes.

Et par dessus ça, ça ne m’étonnerais pas que certaines backdoor ne soient même pas à usage gouvernementale, beaucoup de très grosses multinationales serraient prêt à payer des sommes colossales pour obtenir des données très confidentielles ou privé d’utilisateurs.

J’en ai trouvé 750 moi mais je ne dis pas lesquelles non plus.

« Il leur suffirait seulement de convaincre l’utilisateur d’installer une application agissant comme un Cheval de Troie pour accéder à l’ensemble du smartphone. »… ça en revient à filer les clefs de sa maison à un cambrioleur.

Ben non, pas forcement car l’OS est quand même là pour faire le gendarme.

La on parle de failles qui peuvent carrément contourner l’OS (et donc ses sécurités) : un « jaillbreak » coté hardware.

Plus ou moins, parce que le code exploitant les failles pourrait très bien être embarqué dans n’importe quelle application en fait.

Tu chopes l’APK d’un petit jeu à la mode déjà existant, tu lui rajoutes des bouts de code malveillant, tu le signes avec un certificat bidon, tu publies le résultat sur un site alternatif (qui ne fait aucun contrôle), tu appâte avec une belle description, de faux commentaires… >Et tu attends le pigeon.

Même s’il faut quand même être un cannard et avoir un peu de temps ce n’est pas sorcier.

Merci Sly pour ce petit rappel hélas encor nécessaire…

Ok il s’agit d’une faille mais si l’appât est bien fait comme tu l’indiques à Popoulo, les accords d’accès aux différents éléments du smartphone peuvent aussi être donnés par l’utilisateur au moment de l’installation. Accord d’accès aux contacts, à la messagerie, aux photos, en fonction du rôle présumé de l’application, la faille donnera accès surement à plus de choses et de manière plus transparente mais le principe reste le même. Après tu dis que l’OS est là pour faire le gendarme, bon si tu le dis pourquoi pas.

mais du coup c’est bien sympa tout ca, mais a quand un vrai systeme de MAJ d’android.
parce que faut que chaque fabricant mette la maj a dispo, puis ensuite, chaque operateur… resultat, entre la sortie de la version par google, et l’arrivée chez le client, il s’est passé 1 a 2 ans… ha et si le tel a plus de 2 ans => pas de MAJ… pourtant quand on prend des tel un minimum correct, on fait tres facilement plus de 2 ans avec!

Ah ces chinois… ah oui il y a aussi les américains… et les corses aussi sans oublier les bretons… On est envahi d’emmerd…