Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Tout ceci n'est qu'une pub déguisée pour les Nexus

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

10/08/2015 5 minutes
121

Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Alors même que les utilisateurs d’Android luttent déjà contre la faille Stagefright, une autre importante vulnérabilité a été découverte. Elle réside dans les outils inclus dans le système pour permettre aux OEM de déclencher des réparations à distance. Une bonne partie des appareils est atteinte, mais il n’y a actuellement rien à faire pour se débarrasser du problème.

Sale temps pour Android, et plus particulièrement pour sa sécurité. La faille sur Stagefright commence à peine à être corrigée qu’une autre ombre se manifeste déjà, accentuant largement le débat sur la sécurité du système et surtout la manière dont elle est gérée. On peut d’ailleurs sentir que Google est au courant qu’il y a de sérieux problèmes dans la distribution des mises à jour, puisque dans une annonce presque conjointe avec Samsung, on a appris que les correctifs de sécurité seraient distribués sur une base mensuelle, à la manière d’un Microsoft (les Patch Tuesdays).

Une faille dans les outils utilisés par les OEM pour le support

Et il faut rapidement que ce système se mette en place, même s’il ne va toucher que les générations raisonnablement récentes d’appareils. Une nouvelle vulnérabilité est en effet déjà là, et son potentiel de dégâts est tout aussi important que Stagefright. Elle se nomme Certifi-gate et réside dans les outils intégrés le plus souvent au cœur-même d’Android pour permettre aux OEM de prendre la main pour des corrections à distance.

Ces outils, les « mobile Remote Support Tool » (ou mRST), ne sont pas forcément installés sur la totalité des modèles de smartphones Android, mais ils sont quand même très courants. Selon les chercheurs qui ont découvert la faille, Ohad Bobrov et Avi Bashan de la société Check Point, ce sont tout de même des milliards d’appareils qui sont vulnérables. Et en cas d’exploitation active, il n’y a rien que les utilisateurs puissent faire pour s’en prémunir, à part éventuellement éteindre leur téléphone ou leur tablette. Ou posséder un Nexus.

Vol de données, captures d'écran, enregistrement de l'activité

Le problème réside en effet dans la manière dont les constructeurs (et/ou les opérateurs de téléphonie mobile) utilisent les certificats électroniques pour signer les outils. Seuls les smartphones et tablettes issus des OEM sont donc touchés et aucun des Nexus n’intègre les mRST. Quand ils sont présents, ils possèdent des droits root, que l’utilisateur ait « rooté » son appareil ou non. Des droits logiques dans une optique de réparation à distance : il faut que le technicien en charge de l’opération puisse réaliser ses manipulations. Mais la faille permet théoriquement à n’importe quelle application de faire appel aux mRST et, dès lors, de déclencher de nombreuses actions avec assez de privilèges pour se transformer en véritable aspirateur à données personnelles.

Car le souci ne serait pas si sérieux si les outils pouvaient être désinstallés, ce qui est impossible en l’état. Check Point a quand même publié une petite application qui vous permettra de savoir si votre appareil est vulnérable, mais autant le signaler : cela a de fortes chances d’être le cas si votre appareil provient d’une des entreprises concernées.

Et en cas d’exploitation, une application donnée peut ainsi s’emparer facilement de nombreuses informations, surveiller les frappes au clavier, enregistrer tout ce qui se passe sur l’écran, enregistrer tous les sons autour du téléphone ou même déclencher l’installation d’autres applications, qu’on imagine facilement malveillantes. Posséder la dernière révision d’Android (5.1.1) ne change rien à la situation et il n’y a aucune solution miracle. Les sociétés touchées sont Archos, BenQ, Broadcom, Bullitt, CloudProject, Gigaset, Hisense, HTC, Huaqin, Huawei, Intel, Lenovo, LGEMC, Longcheer, Medion, Oppo, Pantech, Positivio, Prestigio, Quanta, Samsung, TCL, TCT, Unitech. Selon la société, tous ces constructeurs ont été mis au courant et des correctifs sont en cours de développement.

Attendre encore une fois le correctif... pour ceux qui l'auront

Ce qui pose une nouvelle fois la question problématique des modèles qui seront concernés. Comme on l’a vu avec Stagefright, et en dépit d’une annonce importante dans ce domaine, les appareils prévus pour recevoir le correctif ne sont guère nombreux. Chez Samsung par exemple, seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note 4 Edge seront mis à jour. Chez HTC, les One M7, M8 et M9. Et malheureusement, il y a de fortes chances que les nouvelles mises à jour pour corriger la faille Certifi-gate concernent les mêmes modèles, les constructeurs venant clairement d’indiquer leurs priorités en cas de défaut majeur de sécurité.

Selon Google, il existe tout de même un facteur limitant : « Pour qu’un utilisateur soit affecté, il faudrait qu’il installe une application malveillante, ce que nous surveillons constamment avec VerifyApps et SafetyNet. Nous encourageons fortement les utilisateurs à n’installer des applications que depuis des sources de confiance, telles que Google Play ». VerifyApps est conçu effectivement pour faire remonter des données anonymes sur les applications qui seraient installées via d’autres méthodes, et Google se targue de pouvoir indiquer celles qui pourraient représenter un danger. Mais aucune barrière n’est absolue et il est tout à fait possible qu’une application passe au travers des mailles du filet, même s’il ne semble pas y avoir d’exploitation active de Certifi-gate actuellement (selon Google).

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une faille dans les outils utilisés par les OEM pour le support

Vol de données, captures d'écran, enregistrement de l'activité

Attendre encore une fois le correctif... pour ceux qui l'auront

Fermer

Commentaires (121)


“Chez HTC, les One M7, M8 et M9.”



Même pas les Desire ? M’en vais retourner sous Cyanogen si ils font rien <img data-src=" />


Ahah, Samsung qui zape son Note 3

&nbsp;

&nbsp;Le support chez Android c’est vraiment déplorable&nbsp;








risbo a écrit :



Ahah, Samsung qui zape son Note 3

 

 Le support chez AndroidSamsung c’est vraiment déplorable





<img data-src=" />



<img data-src=" /> Je ne suis pas concerné !!!


Je commence à comprendre que gratuit, ca veut dire moins que low cost


Je suis également assez étonné de ne pas voir cet appareil dans la liste de ceux qui seront mis-à-jour.

&nbsp;

C’est vraiment un mauvais pas de Samsung pour ce coup. J’espère que les autres constructeurs ne feront pas pareils et que, peut être, Samsung revoit sa copie.


faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)








chris.tophe a écrit :



Je commence à comprendre que gratuit, ca veut dire moins que low cost





Bof, des failles 0day yen a dans beaucoup de logiciels (software, OS, etc), gratuit ou ultra chers ca change pas grand chose.



Y a pas sony dans le lot?

&nbsp;

Ça surprend. Ils sont pourtant coutumier de ce genre de problèmes…








jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)





Ho ça va toi, avec ton comment-gate !

&nbsp;





&nbsp;

<img data-src=" />&nbsp; ==&gt; []



Le HS se gâte…


Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.


D’où l’interêt de ne pas acheter de téléphone à l’opérateur, ça raccourci déjà un peu la chaîne.


un jour il vont nous trouver la faille bill Gate(s) ^^

&nbsp;ah oui pardons ca s’appel Microsoft :)


Bon, du coup, toujours pas de remise en cause sur le système de distribution d’Android ?



C’est en train de tellement partir en couille… Et je suis sûr que l’on est pas au bout de nos peines. Il doit y avoir encore plein de faille.


Il n’y a pas Motorola!


Et le note 3 pourtant bien plus récent que le GS3 on se le met bien profond??








Zergy a écrit :



Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.





Non, c’était déjà le cas pour les téléphones avant les smartphone, mais il n’y avait cependant pas de mise à jour (et aussi moins de risque d’attaque).



<img data-src=" />





alain57 a écrit :



un jour il vont nous trouver la faille bill Gate(s) ^^

 ah oui pardons ca s’appel Microsoft :)





<img data-src=" />



Krogoth a écrit :

Et le note 3 pourtant bien plus récent que le GS3 on se le met bien profond??



Le mot recent ne veut rien dire chez Samsung pour les MAJ, le galaxy S3 4G a une rom plus recente que le S5 Mini par exemple :) et les 2 tel non brander, le S3 est en 4.4.4 et le S5 mini en 4.4.2

&nbsp;








jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)





Pas content Gate ?



perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^








chris.tophe a écrit :



Je commence à comprendre que gratuit, ca veut dire moins que low cost







Je n’aime pas ce terme gratuit qui, utilisé , pourrait dédouaner Google/les constructeurs d’apporter tout le support nécessaire en se reposant sur cette soi-disant gratuité.



Jusqu’à preuve du contraire un client lambda achète un PACK complet (smartphone + OS) , étant donné Samsung par exemple ne distingue pas les prix d’un Galaxy sans OS et d’un galaxy complet.

Donc cette gratuité de l’OS n’est pas transparent pour l’utilisateur. Par conséquent il y a un devoir de correctifs, de supports et de mises à jours vis à vis des clients qui paient plein pot leurs appareils.




<img data-src=" />


Du coup, j’ai mis à jour ma tablette de 4.4.4 en 5.1, et pour l’instant, je n’ai constaté que des défauts de navigabilité (mineurs mais bon). Les fonctions prennent maintenant + de clics ou de mouvements pour s’activer (écran de déverrouillage, fonction avion, BP consommée, % de batterie, etc). Quand j’éteins ma tablette et la rallume, il garde en mémoire toutes les applications ouvertes (!!!) quand je fais ensuite défiler les applications.

C’est triste comme Google fait empirer l’expérience utilisateur au fil des saisons (boite de réception fouillis sur Gmail avec l’apparition des onglets, icônes incompréhensibles du grand public pour ex modifier l’objet du mail quand tu réponds, difficulté de trouver le lien de partage pour un album G+, etc).








jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)







Depuis que ça existe, t’a attendu 40 ans pour te révolter <img data-src=" />



gâteux-gate ?



–&gt;[]


Merci, j’avais pas vu. Ca veut dire qu’ils sont meilleurs que les autres ?


justement, c’est le seul dont le nom est justifié, dériver toutes les broutilles qu’on voit récemment sur le même modèle de nom, je trouve ça stupide <img data-src=" />








John Shaft a écrit :



gâteux-gate ?



–&gt;[]





Le Sea-gate <img data-src=" />



Ce n’est pas Google qui est à blâmer, si les constructeurs proposaient de base de l’Android stock pur et dur, et leurs personnalisations en options, on n’en serait pas là, ils sont responsable du peu de réactivité qu’ils ont sur le support et les mises à jour, google proposant généralement très vite les correctifs.



Le problème se situe surtout à ce niveau là.





De mon côté, sur smartphone Asus Zenfone 2 551ml (intel atom z3580 x86_64 [email protected] + 4Go de ram) avec CyanogenMod 12.1 installé en remplacement du système android customisé par Asus (ZenUI), non concerné par la faille.



CyanogenMod est un bon fork, quand le téléphone est bien supporté, d’autant que de base on peut esquiver toutes les applications google, et profiter d’un niveau de vie privée acceptable, l’OS intégrant un gestionnaire de permissions. :)


le Golden-gate aussi <img data-src=" />








sleipne a écrit :



perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^





Le problème c’est que même les autres OS ont le même soucis :

&nbsp;

&nbsp;Extrait du site de Firefox OS :

&nbsp;

&nbsp;Note&nbsp;: Le fabricant de votre appareil ainsi que votre

opérateur de réseau mobile sont chargés de vous fournir les mises à jour

système de Firefox&nbsp;OS.

&nbsp;

&nbsp;Je pense que l’on aura le même soucis sur Ubuntu Touch quand plus de constructeur seront dessus.

&nbsp;



Ce problème est le même avec tout les OS disponibles. Que ce soit iOS ou Blackberry.



C’est qui est con , c’est que le suffixe -gate ne veut étymologiquement rien dire.

Ils ont juste détaché un nom propre totalement anodin en 2. <img data-src=" />


Va y avoir quelques gâteries à coup de sword dans 5 minutes <img data-src=" />








jb18v a écrit :



Le Sea-gate <img data-src=" />







La Col-gate <img data-src=" />







c’est parti pour les blagues à bide <img data-src=" />



Boarf, de toute façon Mme Michu est déjà exposée à presque tous les vecteurs d’attaque possibles, et les power users doivent utiliser une rom custom qui intégrera rapidement le patch.&nbsp;

Après, si vous voulez éviter ce mode de distribution, reste les Nexus, Apple, et Jolla. &nbsp;(peut être Win10 ? )


La Galaxy Tab S n’est pas concernée ?? où ils s’en foutent de leur tablette “haut de gamme” ?

&nbsp;



&nbsp;Sinon, quand on est “root”, on peut shooter l’appli/fichier ? existe-t-il une procédure quelque part ?








sleipne a écrit :



perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^







En soit, l’OS, d’Android n’est pas si mauvais. C’est grosso merdo un linux, , quelques bibliothèque, une VM compatible java des interfaces de programmation et des applications. (pour faire encore plus simple, Android, c’est une simple VM java sur un linux)

Pratiquement toutes les applications de bases sur android (contact, SMS, photo, bureau…) ne sont que des applications Android (java) au même titre que celle que tu trouves sur le store.

En théorie, les failles devrait être assez rare, elle ne devrait être lié qu’au noyau linux au bibliothèque ou à l’interface de programmation. Et normalement, vu que ces partie sont assez génériques et utilisé un peu partout (dans le monde du PC par exemple), normalement, ce ne devrait pas être des sources de failles.









data_gh0st a écrit :



Boarf, de toute façon Mme Michu est déjà exposée à presque tous les vecteurs d’attaque possibles, et les power users doivent utiliser une rom custom qui intégrera rapidement le patch.&nbsp;

Après, si vous voulez éviter ce mode de distribution, reste les Nexus, Apple, et Jolla. &nbsp;(peut être Win10 ? )





Michu ne sort jamais du store pour l’installation d’une app.

Encore un buzz pour pas grand chose….&nbsp;









jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)





Il y a pourtant le Bill-Gate qui pose un vrai problème technologique !



Youpi, mon Xiaomi MI4 n’est pas concerné ! Les vilains pirates des internets ne peuvent pas espionner mon téléphone, juste le gouvernement chinois ! <img data-src=" />


Puisque personne ne la fait…

Benjamin Gate ?

Je suis loin ==&gt; [ ]


C’est le même problème avec les Windows Phone, seul Apple n’a pas ces limitations


Cool je ne suis pas touché avec cyanogenmod sur un moto g 2014. Ce qui est pratique avec cyanogenmod, c’est que les des eux sont reactifs et font des Mans ttes les semaines, ce qui n’est pas le cas de messieurs les operateurs et constructeur de merde








M_Michu a écrit :



C’est qui est con , c’est que le suffixe -gate ne veut étymologiquement rien dire.

Ils ont juste détaché un nom propre totalement anodin en 2. <img data-src=" />





<img data-src=" />





M_Michu a écrit :



La Col-gate <img data-src=" />







c’est parti pour les blagues à bide <img data-src=" />





<img data-src=" />





mahn a écrit :



Puisque personne ne la fait…

Benjamin Gate ?

Je suis loin ==&gt; [ ]





<img data-src=" />



Je pressent que pas mal de chercheurs en sécu vont vouloir trouver LA faille qui fera le plus gros buzz. &nbsp;Du coup on est partit pour une petite série de news sur des failles Android.

&nbsp;Ça aura le mérite d’essayer de tirer la sécurité de l’OS vers le haut.

&nbsp;

&nbsp;/my life/ A priori sous cyanogen je suis tranquille /my life/&nbsp;








Zergy a écrit :



Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.







Je me demande comment aurait été l’informatique aujourd’hui si la moindre mise à jour WIndows il y a 10 ans devait être validée par le fabricant du PC et le FAI.

Voire du constructeur de chacun des composants…









Picos a écrit :



Je pense que l’on aura le même soucis sur Ubuntu Touch quand plus de constructeur seront dessus.





Encore faudrait il que des constructeurs soient dessus <img data-src=" />



Justement, aux dernières nouvelles, Windows 10 permettrait de lever ces limitations.


On est encore en train de cracher sur Win 10 et les donnés qu’il prenne et vous mettez un lien pour une aplli, censé vérifié la faille, qui prend les identités du tel et les réseaux lol, c’est tellement magique !!


Au final, si je comprend bien, c’est une faille de sécurité due à un outil tiers … un peu comme une faille flash ..&nbsp;

&nbsp;

&nbsp;il y a une boite qui vend des outils aux OEM, elle fait de la merde, tous les OEM l’installent et ça devient la faute d’Android … cool&nbsp;<img data-src=" />


Ils supportent le S3 et ils zappent le Note 3 ??? Sont fous ?&nbsp;<img data-src=" />


Le s3 (toutes versions de soc confondues) est un des téléphone les plus présent dans le parc Android, heureusement que Samsung va le patcher !


Xperia z3 compact, pas de failles ! \o/


hum … blackberry … symbian (bon ca ok … c est mort …)


Et les galaxy a3, a5, a7 ? Milieu de gamme = pas de support ?








js2082 a écrit :



Y a pas sony dans le lot?

&nbsp;

Ça surprend. Ils sont pourtant coutumier de ce genre de problèmes…







Les rom Sony sont pas très loin des rom Android de base hein. Le seul pb pour moi est l’impossibilité de supprimer certaines applis ! Grrr



En effet à ma grande surprise Acer n’est pas concerné avec la tablette A500. De toutes façons je n’aurai pas espéré de support dans le cas contraire…

Par contre le Galaxy SII est vulnérable et y’aura pas de MàJ de la part de Samsung… :/.



Quelle galère ces MàJ avec Android en devant passer par l’acceptation du constructeur puis du FAI. C’est du n’importe quoi.

Y’a plus qu’à passer sous une ROM alternative ;-).


Ils sont quand même vachement sympas de nous proposer une app qui dit si on est touché ou pas. Et en échange ils ne prélèvent… bah, que des infos sur tous les appareils. Sacré deal pour se constituer une super base de données sur la peur, c’est pas comme si ça changeait quelque chose quelque soit le verdict du scanner.

&nbsp;Prochaine étape: Un antivirus placebo…. Ah, déjà fait. Bon, un app qui dit “Yo”… Mince, aussi… Toutes les apps utiles sont prises ont dirait.

&nbsp;

&nbsp;Aujourd’hui, on a appris qu’une application malveillante peut être… malveillante (et donc exploiter des failles)! Merci Check Point.


Vu la quantité de références que l’on trouve chez certains constructeurs, bon allez, chez samsung, ça fait pas un peu light de voir que seul les Galaxy S3 et+ et les Note 4 seront mis à jour pour une faille de sécurité???

&nbsp;



&nbsp;Et le mRST, il est pas open source? comment se fait-il que de tel vulnérabilités aient pu filtrer sur androïd???

&nbsp;



&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;<img data-src=" /><img data-src=" />

&nbsp;


Ca fait mal… surtout que l’ensemble du parc est encore sous garantie…

&nbsp;

&nbsp;J’avais choisi ce téléphone pensant que le support durerait au moins deux ans, voir trois…

&nbsp;

&nbsp;‘fin bon, ça reste mieux que ce que HTC avait fait avec le Desire Z…

&nbsp;

&nbsp;Prochain téléphone : un BlackBerry ou un Windows Mobile 10








EMegamanu a écrit :



&nbsp;

&nbsp;Prochain téléphone : un BlackBerry ou un Windows Mobile 10





Un Nokia 3310 <img data-src=" />



Avec j’aurai un peu de mal à aller glandouiller sur Nxi malheureusement. ^^;


j’ai switché d’un iPhone 4 à un Samsung Galaxy Alpha. Même si je suis plus que satisfait de mon Galaxy, je reconnais que l’iPhone a quand même des qualités qui lui sont propre comme le sentiment que tu pourras garder ton téléphone 2-3 ans avant que celui semble obsolète. Android semble de plus en plus couvert de faille, Google repose sur ses acquis et&nbsp; ne corrige que la dernière version d’Android. Il est temps qu’un troisième acteur intervienne afin de les 2 mastodontes que son iOS et Android ne se repose pas sur leurs acquis








jiph a écrit :



Les rom Sony sont pas très loin des rom Android de base hein. Le seul pb pour moi est l’impossibilité de supprimer certaines applis ! Grrr







&nbsp; Comment ça, t’aime pas le market de jeux Playstation et le lecteur de musique Walkman ?

&nbsp;

&nbsp;

Dommage ils n’ont pas poussés le vice jusqu’à renommer le lecteur de vidéo Betamax…









tazvld a écrit :



Bon, du coup, toujours pas de remise en cause sur le système de distribution d’Android ?



C’est en train de tellement partir en couille… Et je suis sûr que l’on est pas au bout de nos peines. Il doit y avoir encore plein de faille.





C’est sûr qu’il y a des failles par centaines.

Quand on embauche des gens qui ont besoin d’un garbage collector pour coder, la qualité se fait forcément ressentir.

Qui a dit que Java, c’était plus safe ?

Un mauvais programmeur tant qu’il ne se sort pas les doigts du cul, restera un mauvais programmeur.

Java ne rajoute au final qu’une couche de complexité/médiocrité dans le process, mais permet d’embaucher pas cher.



Je n’évoque même pas ceux qui ont payé des flag chips pour avoir autant de médiocrité, tout ça pour avoir quelque chose qui ressemble à un produit Apple.

De là à accuser ces constructeurs de colombophilie, si je puis dire, il n’y a qu’un pas…








EMegamanu a écrit :



Avec j’aurai un peu de mal à aller glandouiller sur Nxi malheureusement. ^^;





Tant qu’à faire, tu devrais prendre un iBidule. <img data-src=" />









sanzi a écrit :





N’en dis pas plus ! <img data-src=" />



Ce vieux bashing anti Java doublé d’un puissant complexe de supérioté est tellement idiot que je ne saurais te suivre.

&nbsp;

Et pourtant qu’est-ce que je déteste Java !








Bejarid a écrit :



Ce vieux bashing anti Java doublé d’un puissant complexe de supérioté est tellement idiot que je ne saurais te suivre.

 

Et pourtant qu’est-ce que je déteste Java !





C89 saupoudré d’asm, il n’y a que ça de vrai. <img data-src=" />









risbo a écrit :



Ahah, Samsung qui zape son Note 3

&nbsp;

&nbsp;Le support chez Android c’est vraiment déplorable&nbsp;





Le note 3 sera bien patche, je sais pas où Nextinpact à trouve sa liste mais elle est fausse:

&nbsp;

&nbsphttp://www.frandroid.com/marques/google/301669_stagefright-google-publie-liste-d…

&nbsp;

&nbsp;Au final, ça reste un exploit tordu:

&nbsp;- il faut récupérer la clé d’un oem, ça se fait pas en 5 min

&nbsp;- il faut l’utilisateur installe une applications malveillante, hors play store, et en plus il faut qu’elle soit inconnu de chez Google car sinon l’antivirus d’Android la détecterait

&nbsp;

&nbsp;Et la c’est bon. Ben désolé, mais c’est bidon comme faille, c’est un cas théorique, en pratique on risque rien. Rien à voir avec Stagefrigth quoi.









after_burner a écrit :



Et le mRST, il est pas open source? comment se fait-il que de tel vulnérabilités aient pu filtrer sur androïd???







De ce que j’ai vu en cherchant un peu plus, ce sont vraiment des applications tierces sans aucun rapport avec direct avec Android.

Par exemple certains constructeurs ont un module Teamviewer intégré dans leurs versions de l’OS.



Le problème viendrait surtout du comment ils protègent les communications inter applications avec soit des certifs soit des méthodes plus ou moins bidons, parce que le canal de communication n’aurait aucune authentification intégrée si j’ai bien compris. (ils parlaient de “Binder”, je suppose que c’est ça ?)



Bref, ce problème tiendrait plus de l’OEM qui vérole lui-même l’OS livré avec son appareil, un peu comme Lenovo dernièrement avec son truc de merde collé dans ses PC.



Ce qui disait l’un des articles que j’ai lu concernant le rapport avec Android, c’est surtout que le système donne une grande ouverture et liberté pour l’OEM (c’est bien) mais derrière l’utilisateur est incapable de s’assurer que le système ne sera pas truffé de connasseries car l’OS étant verrouillé pour lui de base (ça c’est moins bien).



Donc ce n’est pas a la portée du premier pseudo pirate. Mais très utile pour n’importe quelle personne avec un petit peu de moyens. Installer une application une fois, invisible sur le téléphone, et c’est open bar ensuite. C’est idéal pour écouter l’ensemble des conversations de grands patrons français, de la chancelière allemande ou de brésiliens haut placés.





Au final c’est quand même Google le responsable : vu le nombre de constructeurs touchés cela signifie que c’est Google qui n’a pas mis a disposition une API optimisée et sécurisée pour ces besoins. Du coup bidouillage avec des bugs et failles …


:facepalm:&nbsp;

&nbsp;

&nbsp;Donc les failles de Flash c’est la faute de Microsoft, Apple et même les dev de linux ?&nbsp;<img data-src=" />

&nbsp;Bah oui, ils sont incapable de faire un OS sécurisé !

&nbsp;

&nbsp;Les moyens sécurisés elles y sont !&nbsp;

&nbsp;La question est &nbsp;: est ce que les devs du soft sont pas assez con pour les exploiter.

&nbsp;Si les OEM veulent se laisser des backdoor pour pouvoir faire des conneries, c’est forcément la faute de google ?&nbsp;


Payer pour aller en prison ? Pi’ quoi encore ? :p


Tu confonds Certifi-gate et Stagefright.


Quoi ? Même le Galaxy S3 sérieux ? Je n’y croyais plus personnellement. Déjà qu’ils avaient tout bonnement arrêté les mises à jour, je suis agréablement surpris de constater qu’ils vont faire une exception pour le S3 <img data-src=" />








flagos_ a écrit :



il faut l’utilisateur installe une applications malveillante, hors play store, et en plus il faut qu’elle soit inconnu de chez Google car sinon l’antivirus d’Android la détecterait





Je ne vois pas ce que ça a d’impossible. De quel antivirus tu parles ? Le truc intégré à Android pour détecter des applications malveillantes ? Pas sûr qu’il soit aussi efficace que ça et présent sur toutes les versions.



Installer hors du Play Store, rien de compliqué, même pour Mme Michu.









Nikodym a écrit :



C’est sûr qu’il y a des failles par centaines.

Quand on embauche des gens qui ont besoin d’un garbage collector pour coder, la qualité se fait forcément ressentir.

Qui a dit que Java, c’était plus safe ?

Un mauvais programmeur tant qu’il ne se sort pas les doigts du cul, restera un mauvais programmeur.

Java ne rajoute au final qu’une couche de complexité/médiocrité dans le process, mais permet d’embaucher

pas cher.





Je trouve personnellement Java est un bon langage orienté objet. On est pas au niveau de Smalltalk niveau objet, mais bon, celui là personne ne l’utilise. Le paradigme objet n’est pas mauvais en soit, bien utilisé, il permet justement de créer une couche d’abstraction supplémentaire.

En soit, des langages que je connais, java est celui qui t’empêche le plus de te tirer une balle de le pied. Ce qui en fait un langage de prédilection pour la formation et en particulier à la programmation orienté objet. Python ou javascript n’étant pas typé du tout, on peut faire des conneries sans jamais le savoir (dans le cadre de la formation, ce n’est pas vraiment top) et C++… Ha ! C++ ! pour lui c’est simple, tout est compliqué.

Comme tu le dis, un mauvais programmeur fera de la merde. Or dans la communauté java, il y en a plein. Ce n’est donc pas le langage qui est a blâmer, mais plus la communauté.







Nikodym a écrit :



C89 saupoudré d’asm, il n’y a que ça de vrai. <img data-src=" />







Autant dire, tu doit faire du système, et tu bosses sur du unix (linux ou BSD) en x86.



Niveau champs de mines, C n’est pas en reste. Bon, après c’est écrit dessus.

Mais bon, même dans un code spécialiser dans la sécurité, ça n’empêche pas de faire des connerie avec les tables et de balancer à qui le demande des parties de la mémoire d’un serveur….



Oui, c’est vrai, mais dans les autres cas, un patch est disponible, rapidement ou pas mais jamais on entend dire :“désolé on peut rien faire”


Certes mais ce n’est pas la faute d’Android, les purs produits Android (Nexus) sont mises à jour, le problème vient des constructeurs et/ou opérateurs qui modifient le système…



Tu n’as totalement tort car Google les autorisent à faire ces modifs, mais au final en regardant bien, le problème n’est pas Android.


revenez sur Blackberry si vous voulez de la sécurité !!&nbsp;


Ça me conforte dans l’idée d’être passé sous Firefox OS…


de toute façon, si tu ne viens pas à Blackberry, c’est BB qui ira à Android&nbsphttp://www.frandroid.com/rumeurs/302139_bleckberry-venice-de-nouveaux-cliches-mo…

&nbsp;

&nbsp;<img data-src=" />








Zergy a écrit :



Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.





Je ne trouve pas ça si surprenant. L’OS de la même manière que les applications sont soumise à vérification par Androïd.

Ça permet sans doute de vérifier que les constructeurs et FAI ne fassent pas n’importe quoi avec l’OS (et respectent la licence).



Ce que je trouve choquant, ce sont les constructeurs et FAI qui trainent à répercuter les MAJ (quand ils le font..) et surtout qui ne corrigent pas les failles sur les téléphones relativement récents.



Après effectivement, pour les failles critiques il faudrait peut-être revoir le système de validation par androïd pour gagner du temps, mais mon petit doigt me dit que ce sont les constructeurs et les FAI qui sont les plus poussifs dans le processus de correction/distribution..









Bob le Moche a écrit :



Ça me conforte dans l’idée d’être passé sous Firefox OS…





D’après ce qu’il est dit sur le site de Firefox OS, il y aura le même soucis avec un surcouche constructeur/FAI possible et le déploiement des majs à la responsabilité des constructeurs/FAI.

&nbsp;



&nbsp; ===========================================

&nbsp;Note&nbsp;: Le fabricant de votre appareil ainsi que votre

opérateur de réseau mobile sont chargés de vous fournir les mises à jour

système de Firefox&nbsp;OS.

&nbsp;===========================================

&nbsp;Source









SebGF a écrit :



De ce que j’ai vu en cherchant un peu plus, ce sont vraiment des applications tierces sans aucun rapport avec direct avec Android.

Par exemple certains constructeurs ont un module Teamviewer intégré dans leurs versions de l’OS.



Le problème viendrait surtout du comment ils protègent les communications inter applications avec soit des certifs soit des méthodes plus ou moins bidons, parce que le canal de communication n’aurait aucune authentification intégrée si j’ai bien compris. (ils parlaient de “Binder”, je suppose que c’est ça ?)



Bref, ce problème tiendrait plus de l’OEM qui vérole lui-même l’OS livré avec son appareil, un peu comme Lenovo dernièrement avec son truc de merde collé dans ses PC.



Ce qui disait l’un des articles que j’ai lu concernant le rapport avec Android, c’est surtout que le système donne une grande ouverture et liberté pour l’OEM (c’est bien) mais derrière l’utilisateur est incapable de s’assurer que le système ne sera pas truffé de connasseries car l’OS étant verrouillé pour lui de base (ça c’est moins bien).





J’y ait mis un peu de sarcasmes&nbsp;<img data-src=" />. J’en ai aucunes idées mais vu la description du mRST, je me doute fort que les constructeurs ne communiquent pas trop sur les outils leur permettant de garder le contrôle de l’appareil.

&nbsp;

&nbsp;C’est pas quelque chose qu’ils ont intérêt à communiquer au public.









Vekin a écrit :



Je ne vois pas ce que ça a d’impossible. De quel antivirus tu parles ? Le truc intégré à Android pour détecter des applications malveillantes ? Pas sûr qu’il soit aussi efficace que ça et présent sur toutes les versions.



Installer hors du Play Store, rien de compliqué, même pour Mme Michu.





Ben c’est pas que c’est compliqué, c’est juste que sacrément déconseillé. &nbsp;De toutes façons, si tu installés en dehors du store, tu prends déjà beaucoup de risques.

&nbsp;

&nbsp;L’antivirus sur Android reste un truc inutile en théorie mais à priori efficace. Google l’a mis en place au moment d’Android 4.0, donc c’est largement déployé, au cas où une faille ou une mauvaise habitude de charger en dehors fasse proliférer un virus. Une sorte de bouton rouge quoi.









khertan a écrit :



hum … blackberry … symbian (bon ca ok … c est mort …)







Il y a aussi Tizen, Firefox OS, WinCE<img data-src=" />



Et ce qui va protéger Mme Michu, c’est l’intérêt d’aller chercher une appli en dehors de Google Play. Pour Mme Michu, il est nul, du coup, la question de savoir si c’est facile ou non ne se pose même pas vraiment.

Pour le bricoleur du dimanche, il faut aller chercher une option dans le 3° niveau de menu, et les avertissements sont clairs, c’est pas quelque chose qu’on fait par erreur.








tazvld a écrit :



Je trouve personnellement Java est un bon langage orienté objet. On est pas au niveau de Smalltalk niveau objet, mais bon, celui là personne ne l’utilise. Le paradigme objet n’est pas mauvais en soit, bien utilisé, il permet justement de créer une couche d’abstraction supplémentaire.

En soit, des langages que je connais, java est celui qui t’empêche le plus de te tirer une balle de le pied. Ce qui en fait un langage de prédilection pour la formation et en particulier à la programmation orienté objet. Python ou javascript n’étant pas typé du tout, on peut faire des conneries sans jamais le savoir (dans le cadre de la formation, ce n’est pas vraiment top) et C++… Ha ! C++ ! pour lui c’est simple, tout est compliqué.

Comme tu le dis, un mauvais programmeur fera de la merde. Or dans la communauté java, il y en a plein. Ce n’est donc pas le langage qui est a blâmer, mais plus la communauté.





Java, conceptuellement parlant, pour ses auteurs, est une merveille du genre.

Le problème comme tu l’as dit, c’est la communauté de développeurs qu’il attire.







tazvld a écrit :



Autant dire, tu doit faire du système, et tu bosses sur du unix (linux ou BSD) en x86.



Niveau champs de mines, C n’est pas en reste. Bon, après c’est écrit dessus.

Mais bon, même dans un code spécialiser dans la sécurité, ça n’empêche pas de faire des connerie avec les tables et de balancer à qui le demande des parties de la mémoire d’un serveur….





Avec une certaine rigueur de travail (preuve, preuve, preuve…), on évite toujours les situations problématiques. Au delà, C ou Java, l’erreur est humaine.

Je ne fais pas de ‘système’, bien que j’ai été amené à concevoir des noyaux (avec des implémentations partielles du C ANSI), mais je ne suis pas ‘développeur’ <img data-src=" />

On travaille avec x86, arm et mips, et sur SPIR-V.









Nikodym a écrit :



Java, conceptuellement parlant, pour ses auteurs, est une merveille du genre.

Le problème comme tu l’as dit, c’est la communauté de développeurs qu’il attire.





Avec une certaine rigueur de travail (preuve, preuve, preuve…), on évite toujours les situations problématiques. Au delà, C ou Java, l’erreur est humaine.

Je ne fais pas de ‘système’, bien que j’ai été amené à concevoir des noyaux (avec des implémentations partielles du C ANSI), mais je ne suis pas ‘développeur’ <img data-src=" />

On travaille avec x86, arm et mips, et sur SPIR-V.







Je cite le Bjarne Stroustrup :





Bjarne Stroustrup a écrit :



C makes it easy to shoot yourself in the foot; C++ makes it harder, but when you do it blows your whole leg off.





Ainsi, C est particulièrement peu sécurisé au connerie humain, cependant d’autre langage plus haut niveau ne sont pas infaillible pour autant, c’est juste plus difficile à provoquer.









tazvld a écrit :



Je cite le Bjarne Stroustrup :



Ainsi, C est particulièrement peu sécurisé au connerie humain, cependant d’autre langage plus haut niveau ne sont pas infaillible pour autant, c’est juste plus difficile à provoquer.





Je n’aime pas C++ et tout ce qui va à l’encontre du zero-cost <img data-src=" />



Dennis Ritchie <img data-src=" />









Nikodym a écrit :



C’est sûr qu’il y a des failles par centaines.

Quand on embauche des gens qui ont besoin d’un garbage collector pour coder, la qualité se fait forcément ressentir.

Qui a dit que Java, c’était plus safe ?

Un mauvais programmeur tant qu’il ne se sort pas les doigts du cul, restera un mauvais programmeur.

Java ne rajoute au final qu’une couche de complexité/médiocrité dans le process, mais permet d’embaucher pas cher.







Tout à fait c’est ce que je me tue a dire. Regarde cette magnifique biiiip qu’est jboss. Un enchevêtrement de merde qui donne une bonne grosse bouze ingérable et inmaintenable, où il faut une équipe complète pour gérer le truc pour gagner quoi au final? Que le développeur n’ai pas trop à réfléchir…