Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Ubuntu Phone : bientôt un correctif de sécurité pour une faille brièvement exploitée

Une application qui s'octroie tous les droits

Ubuntu Phone : bientôt un correctif de sécurité pour une faille brièvement exploitée

Le 20 octobre 2015 à 06h40

Canonical a publié récemment un bulletin de sécurité informant les utilisateurs que son système était victime d’une faille de sécurité. Une application l’exploitait, mais a été depuis supprimée et les utilisateurs ont été prévenus. L’éditeur indique qu’un correctif est en route.

Canonical informe les utilisateurs d’un souci de sécurité remonté récemment aux équipes. Une application baptisée « test.mmrow » avait un comportement spécifique : une fois lancée, elle exécutait un script (via une action de l’utilisateur) qui remplaçait l’écran de démarrage du téléphone et lui offrait par la suite un accès root, dont pouvait profiter un pirate.

Un correctif pour l'App Store, un autre pour les smartphones

L’examen a révélé qu’il existait une faille dans le système d’installation des applications. Elle est donc de type 0-day puisque déjà exploitée au moment de sa découverte. Elle est spécifique aux smartphones et ne se retrouve donc pas sur les ordinateurs clients, les serveurs, la version cloud ou la variante Core du système.

Le problème a rapidement été trouvé et durant la journée de jeudi dernier, les envois et réceptions depuis la boutique d’applications ont été suspendus pendant un court laps de temps afin que l’équipe de sécurité mette en place un correctif. Par ailleurs, toutes les applications présentes ont été analysées afin de vérifier que cette brèche n’était pas utilisée ailleurs. Ce qui n’empêche pas qu’un correctif est en cours de développement afin que les smartphones puissent court-circuiter localement ce type d’action dans le futur.

Pas de « kill switch » chez Canonical

L’application vérolée a évidemment été supprimée de la boutique. Elle n’a visiblement pas eu le temps de faire beaucoup de dégâts car le nombre de ses téléchargements se limite à 15, dont deux par des employés de Canonical qui enquêtaient sur le souci. Les utilisateurs ont été avertis directement par email et il leur a été demandé de supprimer directement l’application, l’App Store d’Ubuntu Phone ne possédant pas de « kill switch ».

On ne sait pas actuellement quand la mise à jour de sécurité sera disponible, mais Canonical a indiqué qu’elle communiquerait prochainement sur la suite des évènements.

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

15 téléchargements, ça doit bien faire 60% des Ubuntu Phone en circulation.

votre avatar







v6relou a écrit :



15 téléchargements, ça doit bien faire 60% des Ubuntu Phone en circulation.





<img data-src=" /> <img data-src=" />


votre avatar

“Pas de kill switch” sur UbuntuPhone <img data-src=" />

Combien de gens vont apprécier ?

votre avatar

+1

J’ai même cru au début à un fake. 15 utilisateurs? Impossible!

votre avatar

Mouaif … c’est pas avec la population qui se jette sur les Ubuntu Phone qu’on aura quelque chose de vraiment éprouvé.



Ce genre d’incident n’est jamais arrivé à Jolla à ma connaissance … et y’a un peu plus de 15 utilisateurs et ce ne sont pas des manches.

votre avatar







gokudomatic a écrit :



+1

J’ai même cru au début à un fake. 15 utilisateurs? Impossible!







Effectivement c’ est un fake, dans les 15 utilisateurs il y a au moins 2 employés de Canonical qui procédaient à des test ce qui fait donc au grand maximum réellement 13 utilisateurs réels… ^^


votre avatar







TNZfr a écrit :



Mouaif … c’est pas avec la population qui se jette sur les Ubuntu Phone qu’on aura quelque chose de vraiment éprouvé.



Ce genre d’incident n’est jamais arrivé à Jolla à ma connaissance … et y’a un peu plus de 15 utilisateurs et ce ne sont pas des manches.





Bof les failles de sécurité touche tout le monde. Et je n’est pas l’impression que Jolla ai eu beaucoup plus de réussite qu’Ubuntu en terme de ventes. A la différence qu’Ubuntu Phone n’est pas encore vraiment vendu pour du grand publique.


votre avatar

Les blagues sur les 15 téléchargeurs sont marrantes mais bon, télécharger une appli appelée “test.mmrow”, il est heureux qu’il n’y en ai pas des milliers !&nbsp;

&nbsp;

votre avatar

Si sur une seule application, le Ubuntu store a généré 15 téléchargement, on peut raisonnablement penser que s’il compte une vingtaine d’applications aussi populaires, les chiffres seront meilleurs que le windows store.

votre avatar

Ces trolls ! <img data-src=" />

Par contre je vais devoir renouveler mon stock de pop-corn à ce rythme !

votre avatar







TNZfr a écrit :



Mouaif … c’est pas avec la population qui se jette sur les Ubuntu Phone qu’on aura quelque chose de vraiment éprouvé.





Oui, mais en attendant, ça reste un système éprouvant… les quelques utilisateurs dans mes connaissances ont fini par craquer et installer un android à la place…


votre avatar



On ne sait pas actuellement quand la mise à jour de sécurité sera

disponible, mais Canonical a indiqué qu’elle communiquerait

prochainement sur la suite des évènements.



La mise à jour est disponible depuis la semaine dernière (vendredi je crois).

votre avatar







ragoutoutou a écrit :



Oui, mais en attendant, ça reste un système éprouvant… les quelques utilisateurs dans mes connaissances ont fini par craquer et installer un android à la place…





Comme une distrib Arch, en fait.<img data-src=" />


votre avatar

“nous aussi on est un vrais OS mobile, regardez, on a des failles comme tout le monde!”

votre avatar







Faith a écrit :





  • logithèque minimaliste (mais bon, ça c’est logique pour le début)





    ????

    On ne peut pas utiliser les outils classiques de linux “version PC” ?


votre avatar







Drepanocytose a écrit :



????

On ne peut pas utiliser les outils classiques de linux “version PC” ?





Pas de base… Pour le moment, c’est juste un smartphone: la phase de convergence PC/tablette/téléphone ne me semble pas encore entamée.


votre avatar







Rogan a écrit :



J’espère qu’ils amélioreront rapidement le point sur l’autonomie





&nbsp; Attention: l’autonomie est bonne. C’est juste un bug dans l’estimation du niveau de charge.


votre avatar







Faith a écrit :



Pas de base… Pour le moment, c’est juste un smartphone: la phase de convergence PC/tablette/téléphone ne me semble pas encore entamée.





Si il me semble qu’il y a déjà quelque chose. je crois que si tu essayes de connecter une souris Bluetooth il doit passer en mode fenêtré. BQ a eu l’air agréablement surpris des ventes qui étaient supérieurs aux attentes. Bon après ça reste une niche.



https://lh4.googleusercontent.com/-t7RrY-e1xKc/ViaCUmmQb0I/AAAAAAAAWRE/34coSHBas…



Mais sinon j’attends la version convergente qui doit sortir début 2016.


votre avatar







Faith a écrit :



Pas de base… Pour le moment, c’est juste un smartphone: la phase de convergence PC/tablette/téléphone ne me semble pas encore entamée.







Elle arrive et y’a eu des démos techniques (cf commentaire ci-dessus).

http://insights.ubuntu.com/2015/10/20/ubuntus-path-to-convergence/



Du côté des apps, un des développeurs de Canonical a posté une simple photo d’un POC montrant Unity 8 avec Mir qui faisait tourner GIMP sur un Nexus 5. Pour l’instant Canonical n’a pas encore donné trop de détails là dessus.



Edit : l’article en questionhttp://news.softpedia.com/news/ubuntu-phones-will-run-any-linux-application-on-t…



Après, leur cheval de bataille est tout autre avec les Scopes pour répondre aux besoins de base.



Merci pour ton retour cependant, j’attends de me refaire une meilleure santé financière pour me prendre éventuellement le MX4 aussi sur Ubuntu Touch, sauf si d’ici là un autre modèle sort. Sinon en dehors de l’OS, il vaut son pesant de kawettes le MX4 ?


votre avatar

Ok, c’est un point qu’ils pourront plus facilement résoudre je suppose :-)

Petite question supplémentaire sur l’autonomie, tu saurais combien de temps le téléphone tient en écran allumé ? (une estimation bien sûr puisque c’est dépendant de l’utilisation qu’on a du téléphone :-) )



P.S: le coup de la convergence est chouette aussi si ils y arrivent, ça développera le côté app store je suppose ^^

votre avatar







SebGF a écrit :



Sinon en dehors de l’OS, il vaut son pesant de kawettes le MX4 ?





Le MX4 ne gère pas la plage des 700-800MHz pour la 4G, donc je ne peux pas le conseiller pour ceux qui cherchent un smartphone en France. A part ça, pas de regret: il est solide, léger, pas de mauvaise surprise jusqu’à présent.



&nbsp;





Rogan a écrit :



Petite question supplémentaire sur l’autonomie, tu saurais combien de temps le téléphone tient en écran allumé ? (une estimation bien sûr puisque c’est dépendant de l’utilisation qu’on a du téléphone :-) )



Sans l’éteindre je tiens 23 jours, avec un peu de jeu, quelques appels et des SMS (wifi, bluetooth et GPS désactivés la plupart du temps)


votre avatar







Faith a écrit :



Le MX4 ne gère pas la plage des 700-800MHz pour la 4G, donc je ne peux pas le conseiller pour ceux qui cherchent un smartphone en France. A part ça, pas de regret: il est solide, léger, pas de mauvaise surprise jusqu’à présent.







Merci, dommage donc car du côté de BQ, les Aquaris sous Ubuntu Touch ne gèrent pas la 4G du tout apparemment :(

Bon, vu que BQ semble avoir été surpris par les ventes, j’imagine qu’ils sortiront peut-être un nouveau modèle faisant 4G, ou éditer le E5 4G avec Ubuntu Touch.


votre avatar







SebGF a écrit :



Merci pour ton retour cependant, j’attends de me refaire une meilleure santé financière pour me prendre éventuellement le MX4 aussi sur Ubuntu Touch, sauf si d’ici là un autre modèle sort. Sinon en dehors de l’OS, il vaut son pesant de kawettes le MX4 ?







Je le prendrais s’il y avait une version &gt; 64 GB


votre avatar

J’aurais bien testé un ubuntu phone moi…

Si c’est aussi “bidouillable” qu’une distrib classique et que l’écosystème linux est fonctionnel, pourquoi pas.

votre avatar

contrairement au autres smart phones, il y a kill et switch sous ubuntuphone, faut juste lancer le terminal



&nbsp;&lt;/troll&gt;

votre avatar







barbach a écrit :



J’aurais bien testé un ubuntu phone moi…

Si c’est aussi “bidouillable” qu’une distrib classique et que l’écosystème linux est fonctionnel, pourquoi pas.





Oui normalement tu peux bidouiller tu as le terminal et il me semble que l’Aquaris 4.5 est pas trop cher.


votre avatar

Est-ce que vous savez si sur les autres OS mobile, le kill switch demande à l’utilisateur s’il accepte qu’on lui retire son application ?

votre avatar

Ubuntu phone, tout comme firefox OS, Personnellement, je suis juste curieux de tester un peu, pour voir ce qu’ils ont fait, ce qu’ils proposent de nouveaux.









GruntZ a écrit :



“Pas de kill switch” sur UbuntuPhone <img data-src=" />

Combien de gens vont apprécier ?







Tu te fais voler un ubuntu phone, le mec il prend pitié de toi et te le redonne immédiatement. Limite il t’offre l’iPhone 6S qu’il vient de voler au mec assis à coté de toi.


votre avatar

Moi, j’ai un Ubuntu Phone depuis 4 mois, rien à dire, c’est loin d’être parfait mais ça fait le boulot… Parfois mieux que l’iphone de ma copine…



Et la mise à jour de ce matin (OTA7) est vraiment de bonne qualité.&nbsp; Après j’ai pas des besoins fou fou en terme d’application :p

votre avatar

Eh beh… Ça ne vole pas haut les commentaires ici. Moi qui me suis dit “chouette un article sur l’Ubuntu Phone il y aura peut-être des retours par des gens qui en ont !”

Puis j’ai lu les commentaires et franchement j’en ai presque été déçu d’avoir payé mon abonnement à Next Intact. La qualité d’un article compte pour 50% du plaisir de la lecture, les commentaires les 50% restant. Et plus ça va et moins je trouve de commentaires pertinent… Merci à ceux qui ont fait un retour dessus ou abordé une partie technique du système !

Pour les autres je vous dirais bien bon vent mais bon…

votre avatar







blob741 a écrit :



Si sur une seule application, le Ubuntu store a généré 15 téléchargement, on peut raisonnablement penser que s’il compte une vingtaine d’applications aussi populaires, les chiffres seront meilleurs que le windows store.





Va faire tes devoirs de maths petit si t’as tant de mal avec les zéros, le Windows Store ça se compte juste en milliards de téléchargement, c’est pas du tout les mêmes sphères.


votre avatar

Tu as quel téléphone dessus ? Les mises à jours OTA sont régulières ? Tu trouves que ça s’améliore au fil des versions ? À chaud tu mettrais quoi comme plus gros défaut et meilleur qualité par par rapport aux systèmes concurrents ?

J’ai vu quelques vidéos sur le MX4 et je dois avouer qu’il m’a bien surpris (en positif) et n’aimant pas Apple ni Google (Android je sature) et pas fan de Microsoft je me laisserait bien tenter lors de mon renouvellement de téléphone d’ici un an ou deux (voir plus tant qu’il fonctionne bien ^^). Mais si tu as un petit retour détaillé sur 4 mois d’utilisations je suis preneur =)

Edit : j’adore la bataille des chiffres… À croire qu’il faut avoir des millions ou milliards de telechargements pour avoir un système de qualité.

votre avatar

et on est pas encore trolldi <img data-src=" />

votre avatar







Rogan a écrit :



Eh beh… Ça ne vole pas haut les commentaires ici. Moi qui me suis dit “chouette un article sur l’Ubuntu Phone il y aura peut-être des retours par des gens qui en ont !”

Puis j’ai lu les commentaires et franchement j’en ai presque été déçu d’avoir payé mon abonnement à Next Intact. La qualité d’un article compte pour 50% du plaisir de la lecture, les commentaires les 50% restant. Et plus ça va et moins je trouve de commentaires pertinent… Merci à ceux qui ont fait un retour dessus ou abordé une partie technique du système !

Pour les autres je vous dirais bien bon vent mais bon…





je partais aussi dans cette optique, mais c’est plus troll que retour sur expérience….


votre avatar







Rogan a écrit :



Eh beh… Ça ne vole pas haut les commentaires ici.&nbsp;





Clairement, on ne se demande plus pourquoi les alternatives ont du mal à émerger quand on voit tous ces commentaires sur un site supposé technophile…



Pour faire un rapide retour: Possesseur d’un Meizu MX4, je constate quelques limitations encore trop lourdes pour une utilisation normale:




  • gestion de la batterie calamiteuse (la recharge marche bien, mais le système ne réalise qu’il est rechargé que si on recharge au moins quelques secondes le portable éteint…)

  • personnalisation quasi-inexistante à première vue

  • logithèque minimaliste (mais bon, ça c’est logique pour le début)



    Pour le reste, c’est très correct.

    &nbsp;L’ergonomie est franchement bonne (le système de glissement pour changer/ferme les applis est en avance sur ce qui existe ailleurs)

    Mises à jour assez fréquentes jusqu’à présent.


votre avatar

Merci pour ton retour ! J’espère qu’ils amélioreront rapidement le point sur l’autonomie puis ensuite on verra bien pour la personnalisation et les applications (mais je t’avoue que je recherche d’abord un système respectueux de ma vie privée puis ensuite pas trop énergivore et pour le reste je suis près à faire des concessions tant que je peux accéder à mes mails ou naviguer sur internet :-) )

votre avatar

Du coup j’ai été trop long pour mon Edit donc je double post, désolé :-)

Si j’ai bien compris pas de commercialisation avant 2016 ? Ça laisse un peu de temps pour optimiser ça et voir les contrats qu’ils auront avec les constructeurs ! Par contre si c’était possible d’avoir un modèle sans un écran de plus de 5” avec une définition qui n’a plus aucun sens et un processeur tellement performant qu’il est utilisé qu’au quart de ses possibilités et avoir une bonne batterie… D’ailleurs pour le Meizu tu te sens comment au niveau de l’espace de stockage ? (c’était son seul défaut à mes yeux, 16Go interne et pas de possibilité d’extension c’est ça ?)

votre avatar

Malheureusement d’ailleurs… =(

Ubuntu Phone : bientôt un correctif de sécurité pour une faille brièvement exploitée

  • Un correctif pour l'App Store, un autre pour les smartphones

  • Pas de « kill switch » chez Canonical

Fermer