Les vulnérabilités Android évoquent les mêmes sentiments qu'une faille de données massive Ce que vous devez savoir sur les comptes LinkedIn Massive Leak Un pirate est en train de vendre 117 millions d'informations d'identification LinkedIn piratées sur le web noir pour environ 2 200 $ Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre ce qui est à risque. Lire la suite: un événement tout-commun dont je pourrais me trouver partie. Au moins avec une violation de données massive, j'ai l'occasion de couper mes comptes et de cautériser les données. Avec le dernier bug Android - QuadRoot - ce n'est tout simplement pas une option.
C'est en grande partie dû au fait que la vulnérabilité ne réside pas entièrement avec Android. Non, votre appareil a été potentiellement compromis par le géant américain de la quincaillerie Qualcomm, et sa popularité estimée en tant que centrale de choix pour la myriade d'appareils Android dans le monde.
Ce bug est légèrement différent de la norme. Là où les bogues Android affectent généralement un seul ou un petit nombre de fabricants utilisant un ensemble spécifique de matériel, QuadRoot est estimé à affecter quelque 900 millions d'utilisateurs Android dans le monde entier. C'est toi, moi et tout le monde que tu as aimé.
Regardons ce qu'est QuadRoot, ce que cela signifie pour vous, et ce que tout le monde fait réellement pour le réparer.
QuadRoot est grand
QuadRoot se distingue des autres bogues Android rencontrés ces dernières années. Pour commencer, Check Point, l'équipe de recherche en sécurité qui a découvert le bug explique que:
"QuadRooter est un ensemble de quatre vulnérabilités affectant les appareils Android construits à l'aide de chipsets Qualcomm. Qualcomm est le premier concepteur mondial de jeux de puces LTE avec une part de 65% du marché de la bande de base du modem LTE. Si l'une des quatre vulnérabilités est exploitée, un attaquant peut déclencher des escalades de privilèges dans le but d'obtenir l'accès root à un périphérique. "
Ils listent les quatre failles de sécurité comme:
- CVE-2016-2503 découvert dans le pilote GPU de Qualcomm et corrigé dans le bulletin de sécurité Android de Google pour juillet 2016.
- CVE-2016-2504 trouvé dans le pilote GPU Qualcomm et corrigé dans le bulletin de sécurité Android de Google pour août 2016.
- CVE-2016-2059 trouvé dans le module du noyau Qualcomm et corrigé en avril, bien que le statut du correctif soit inconnu.
- CVE-2016-5340 présenté dans le pilote GPU Qualcomm et corrigé, mais l'état du correctif est inconnu.
Mon appareil est-il vulnérable?
Qualcomm étant le premier concepteur et fabricant mondial de chipsets LTE (Long Term Evolution), commandant environ 65% du marché des modems à bande de base LTE, il y a de fortes chances que votre appareil soit exposé. Vous pouvez vérifier si votre appareil est vulnérable en utilisant le scanner QuadRooter, développé et publié par Check Point (les gars qui ont trouvé la vulnérabilité). J'ai un OnePlus One Top Six des meilleures caractéristiques du OnePlus One - et un inconvénient Top Six des meilleures caractéristiques du OnePlus One - Et un inconvénient Je vis avec le OnePlus One depuis quelques semaines maintenant, et c'est incroyable, mais ce n'est pas parfait. Passons en revue certaines des meilleures caractéristiques - et un inconvénient. Lire la suite :
Triste fois pour moi, en effet.
@oneplus quand pensez-vous que des correctifs seront publiés pour la vulnérabilité sévère de Quadroot?
- Gazing Cyber (@gazingcyber) 8 août 2016
Suis-je susceptible d'être exploité?
Check Point indique qu'il est relativement facile d'exposer un périphérique avec l'une de ces vulnérabilités.
"Un attaquant peut exploiter ces vulnérabilités à l'aide d'une application malveillante. Une telle application ne nécessiterait aucune autorisation spéciale pour tirer parti de ces vulnérabilités, ce qui atténuerait les soupçons des utilisateurs lors de l'installation. "
Ce n'est pas un défaut qui a été introduit par une mise à jour du firmware. La vulnérabilité était présente lorsque votre appareil a été expédié. La faille, trouvée dans les pilotes logiciels qui contrôlent la communication entre les composants du chipset, ne peut en réalité être fixée par le fabricant du dispositif que via une mise à jour OTA.
Contrairement au bug Stagefright de l'année dernière Comment 95% des téléphones Android peuvent être piratés avec un seul texte Comment 95% des téléphones Android peuvent être piratés avec un seul texte Une nouvelle vulnérabilité Android inquiète le monde de la sécurité. Le bogue StageFright permet l'envoi de code malveillant par MMS. Que pouvez-vous faire à propos de cette sécurité ... En savoir plus, QuadRoot nécessite l'installation d'une application malveillante, probablement après avoir activé les installations d'applications à partir de "sources inconnues". 10 Meilleures applications Android Pas dans le Play Store 10 Meilleures applications Android Play Store Le Play Store n'est pas la fin ultime de toutes les applications Android. Si vous ne vous êtes jamais aventuré en dehors de cela, vous manquez vraiment. Lire la suite En plus de cela, et comme Google l'a souligné dans sa déclaration (que vous pouvez lire dans la section suivante), la fonctionnalité "Vérifier l'application" d'Android est conçue pour se protéger contre ce type exact de vulnérabilité. Cette fonctionnalité est arrivée avec Android 4.2 Jelly Bean, et étant donné que plus de 90% de tous les appareils Android exécutent cette version ou plus tard, et que ce bug n'affecte que le chipset mentionné ci-dessus - je pense que tout ira bien.
Que se passe-t-il maintenant?
Étant une entreprise de recherche de sécurité professionnelle, Check Point a informé Qualcomm de la vulnérabilité il y a plusieurs mois. En tant que tel, ils ont déjà fabriqué un patch de jeu de puces qui a été déployé sur le fabricant de votre appareil. La balle repose maintenant fermement dans leur cour.
Presque tous les téléphones des deux dernières années sont #Quadroot vulnarable allant par numéros! @google @GoogleIndia @ Mandy_017
- Srikanth Akula (@ srikie21) 9 août 2016
Un certain nombre de fabricants d'appareils populaires ont déjà pris des mesures pour rassurer leurs utilisateurs. Dans un cas, le correctif a déjà été déployé. Voici quelques-uns des principaux fabricants, et leur état actuel.
Google s'est déplacé rapidement pour protéger ses utilisateurs.
"Les appareils Android avec notre niveau de correctif de sécurité le plus récent sont déjà protégés contre trois de ces quatre vulnérabilités. La quatrième vulnérabilité, CVE-2016-5340, sera abordée dans un prochain bulletin de sécurité Android, bien que les partenaires Android puissent agir plus rapidement en faisant référence au correctif public fourni par Qualcomm.
En tant que développeurs principaux derrière Android, Google tenait également à souligner les autres mesures de sécurité déjà en place pour les appareils Android.
"Nos protections Verify Apps et SafetyNet aident à identifier, bloquer et supprimer les applications qui exploitent des vulnérabilités comme celles-ci."
Appareils populaires: Nexus 5X, Nexus 6, Nexus 6P
la mûre
Comme je l'ai mentionné ci-dessus, un fabricant avait déjà déployé le correctif à ses utilisateurs. Bravo et éloges sont entassés sur les piliers de la fabrication de combinés, Blackberry.
"Trois des quatre vulnérabilités ont déjà été corrigées sur les périphériques PRIV avec le patch August Marshmallow et sur tous les périphériques DTEK50. En outre, la chaîne de démarrage sécurisée présente dans tous les terminaux BlackBerry atténue naturellement le problème restant. Nous ne sommes pas au courant d'exploits pour cette vulnérabilité dans la nature et nous ne pensons pas que les clients sont actuellement à risque de ce problème. "
Appareil populaire: Blackberry Priv
Sony
Sony travaille à rendre les correctifs disponibles pour leurs appareils Qualcomm.
"Sony Mobile prend très au sérieux la sécurité et la confidentialité des données clients. Nous sommes conscients de la vulnérabilité «QuadRooter» et travaillons à rendre les correctifs de sécurité disponibles dans le cadre d'une maintenance logicielle normale et régulière, directement sur les appareils du marché libre et via nos partenaires transporteurs, afin que les horaires puissent varier selon la région et / ou l'opérateur. "
Appareil populaire: Sony Xperia Z Ultra
Motorola
Motorola est un autre fabricant capable de fournir de bonnes nouvelles.
"Récemment, une vulnérabilité de sécurité potentielle, Quadrooter a été découverte dans certains appareils Android. Cette vulnérabilité potentielle ne peut être exploitée que si un utilisateur désactive la mesure de sécurité intégrée d'Android et télécharge une application malveillante. Pour plus d'informations sur la façon de s'assurer que cela est désactivé, ce lien est utile pour les consommateurs. "
Appareil populaire: Moto X
HTC
HTC a été un peu calme concernant QuadRoot, compte tenu du fait qu'au moins deux de leurs appareils sont exposés à un risque d'exposition.
"HTC prend la sécurité des clients très au sérieux. Nous sommes au courant de ces rapports et nous les étudions. "
Appareils populaires: HTC 10, HTC One M9
OnePlus
OnePlus a fait des plans d'urgence pour inclure la mise à jour QuadRoot dans son prochain patch.
"La sécurité est une priorité absolue pour OnePlus. Les correctifs de sécurité pertinents seront inclus dans les prochaines OTA (mises à jour Over The Air) pour tous les appareils OnePlus. "
Samsung
Il n'y a pas encore eu de déclaration officielle de Samsung.
Appareils populaires: Galaxy S7, Galaxy S7 Edge
LG
Encore une fois, il n'y a pas eu de déclaration officielle de LG pour le moment.
Appareils populaires: LG G5, LG G4, LG V10
Temps de s'inquiéter?
Comme pour la plupart des vulnérabilités de sécurité, vous devez rester vigilant. Ces vulnérabilités existent, mais si vous ne téléchargez pas une application avec le code malveillant correspondant, il est peu probable que votre appareil soit compromis.
Le Google Play Store contient plusieurs millions d'applications. L'application contenant du code malveillant Comment Android Porn Malware vole vos données Comment Android Porn Malware vole vos données Clicker porno malicieux Les chevaux de Troie se font passer pour des applications en double, en attente d'infecter votre appareil Android. Quelle est leur prévalence? Que se passe-t-il si vous en téléchargez un, et surtout, comment pouvez-vous les éviter? Lire la suite conçu pour exploiter ces bugs particuliers pourrait être l'un d'eux Piratage sur Android: À quel point est-il vraiment? Piratage sur Android: à quel point est-ce vraiment mauvais? Android est connu pour son piratage rampant, alors nous étudions exactement à quel point c'est grave. Lire la suite . En tant que tel, restez alerte. Vérifiez les commentaires. Vérifiez les informations du développeur et de l'éditeur. Regardez les chiffres de téléchargement. Considérez les escroqueries courantes. Ne téléchargez pas d'applications ridicules qui offrent de transformer votre téléphone en quelque chose qu'il n'est pas.
Vous devriez éviter les malfaiteurs potentiels avant que le fabricant de votre périphérique ne libère les correctifs pour apporter votre sécurité 6 Applications de sécurité Android Vous devriez installer aujourd'hui 6 Applications de sécurité Android Vous devez installer aujourd'hui Applications de sécurité Android - capables de bloquer les logiciels malveillants et les tentatives d'hameçonnage sont nécessaires si vous souhaitez exécuter un smartphone sécurisé et sécurisé. Regardons quelques-unes des meilleures applications de sécurité Android actuellement ... Lire la suite. Cependant, ce dernier bug souligne à nouveau les risques inhérents présents dans le modèle de sécurité Android. Contrairement à Apple, qui peut tout simplement développer un correctif et le déployer pour ses centaines de millions d'utilisateurs, les correctifs de sécurité Android critiques doivent passer par toute la chaîne d'approvisionnement de chaque fabricant avant d'atteindre les utilisateurs qu'ils sont censés aider.
J'aime Android, et je vais continuer à l'utiliser, mais en tant qu'utilisateur, vous devez rester sur vos gardes.
Inquiet à propos de QuadRoot? Le nombre de vulnérabilités Android vous fait-il reconsidérer la plateforme? Faites-nous savoir vos pensées ci-dessous!