Êtes-vous l'un des 900 millions d'utilisateurs Android exposés par QuadRoot?

Êtes-vous l'un des 900 millions d'utilisateurs Android exposés par QuadRoot? / Sécurité

Les vulnérabilités Android évoquent les mêmes sentiments qu’une violation massive des données Ce que vous devez savoir sur la fuite massive de comptes LinkedIn Ce que vous devez savoir sur la fuite massive de comptes LinkedIn Un pirate vend 117 millions d’informations d’identité LinkedIn piratées sur le Web pour environ 2 200 $ US Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est à risque. Lire la suite: un événement tout-à-commun que je pourrais me trouver une partie. Au moins avec une violation massive des données, j'ai l'occasion de couper mes comptes et de cautériser la blessure de données. Avec le dernier bogue Android - QuadRoot - ce n’est tout simplement pas une option.

Ceci n’est pas sans doute dû au fait que la vulnérabilité ne réside pas entièrement dans Android. Non, votre appareil a été potentiellement compromis par le géant américain de la fabrication de matériel Qualcomm, et sa popularité estimée en tant que moteur de choix pour la myriade d'appareils Android dans le monde entier..

Ce bug est légèrement différent de la norme. Là où les bogues Android affectent généralement un seul ou un petit nombre de fabricants utilisant un ensemble de matériel spécifique, QuadRoot toucherait quelque 900 millions d'utilisateurs Android dans le monde. C'est toi et moi, et tous ceux que tu as aimés.

Examinons QuadRoot, ce que cela signifie pour vous et ce que tout le monde fait pour le résoudre.

QuadRoot Is Big

QuadRoot se distingue des autres bugs Android rencontrés ces dernières années. Pour commencer, Check Point, l’équipe de recherche sur la sécurité qui a découvert le bogue explique que:

“QuadRooter est un ensemble de quatre vulnérabilités affectant les appareils Android construits à l'aide de jeux de puces Qualcomm. Qualcomm est le premier concepteur mondial de jeux de puces LTE avec une part de marché de 65% du marché de la bande de base des modems LTE. Si l'une ou l'autre des quatre vulnérabilités est exploitée, un attaquant peut provoquer des augmentations de privilèges dans le but d'obtenir un accès root à un périphérique..”

Ils répertorient les quatre vulnérabilités de sécurité comme suit:

  • CVE-2016-2503 découvert dans le pilote du processeur graphique de Qualcomm et corrigé dans le bulletin de sécurité Android de juillet 2016.
  • CVE-2016-2504 détecté dans le pilote GPU de Qualcomm et corrigé dans le bulletin de sécurité Android de Google pour août 2016.
  • CVE-2016-2059 trouvé dans le module de noyau Qualcomm et corrigé en avril, bien que l'état du correctif soit inconnu.
  • CVE-2016-5340 présenté dans le pilote GPU Qualcomm et corrigé, mais statut de correctif inconnu.

Mon appareil est-il vulnérable??

Qualcomm étant le leader mondial de la conception et de la fabrication de jeux de puces LTE (Long Term Evolution), qui contrôlent environ 65% du marché des modems à bande de base LTE, il y a de grandes chances que votre appareil soit exposé. Vous pouvez vérifier si votre appareil est vulnérable en utilisant le scanner QuadRooter [Non disponible plus], développé et publié par Check Point (les responsables de la vulnérabilité). J'ai un OnePlus One Top Six meilleures caractéristiques du OnePlus One - et un inconvénient Top Six meilleures caractéristiques du OnePlus One - Et un inconvénient Je vis avec le OnePlus One depuis quelques semaines maintenant, et c'est incroyable, mais ce n'est pas parfait. Passons en revue certaines des meilleures fonctionnalités - et un inconvénient. Lire la suite :

Tristes fois pour moi, en effet.

@oneplus quand prévoyez-vous la publication de correctifs pour la vulnérabilité grave Quadroot??

- Gazing Cyber ​​(@gazingcyber) 8 août 2016

Suis-je susceptible d'être exploité?

Check Point indique qu'il est relativement facile d'exposer un périphérique présentant l'une de ces vulnérabilités..

“Un attaquant peut exploiter ces vulnérabilités en utilisant une application illicite. Une telle application ne nécessiterait aucune autorisation spéciale pour tirer parti de ces vulnérabilités, atténuant ainsi les soupçons des utilisateurs lors de l'installation..”

Ce n'est pas une faille introduite par une mise à jour du firmware. La vulnérabilité était présente lors de la livraison de votre appareil. La faille, trouvée dans les pilotes logiciels qui contrôlent la communication entre les composants du jeu de puces, ne peut de manière réaliste être corrigée que par le fabricant du périphérique via une mise à jour OTA.

À la différence du bogue Stagefright de l'année dernière, comment 95% des téléphones Android peuvent être piratés avec un seul texte Comment 95% des téléphones Android peuvent être piratés avec un seul texte Une nouvelle vulnérabilité d'Android inquiète le monde de la sécurité et laisse votre smartphone extrêmement vulnérable. Le bogue StageFright permet à un code malveillant d’être envoyé par MMS. Que pouvez-vous faire à propos de cette sécurité… En savoir plus, QuadRoot nécessite en fait l'installation d'une application malveillante, probablement après l'activation de l'installation d'applications à partir de “Sources inconnues.” 10 meilleures applications Android absentes du Play Store 10 meilleures applications Android absentes du Play Store Le Play Store n'est pas la fin des applications Android. Si vous ne vous êtes jamais aventuré en dehors de cela, vous êtes vraiment absent. En plus de cela, et comme Google l'ont souligné dans leur déclaration (que vous pouvez lire dans la section suivante), Android “Vérifier l'application” Cette fonctionnalité est conçue pour protéger contre ce type exact de vulnérabilité. Cette fonctionnalité est arrivée avec Android 4.2 Jelly Bean et étant donné que plus de 90% de tous les appareils Android utilisent cette version ou une version ultérieure., et que ce bug n'affecte que le chipset susmentionné - je pense que tout ira bien.

Qu'est-ce qui se passe maintenant?

En tant que société de recherche sur la sécurité, Check Point a informé Qualcomm de la vulnérabilité constatée il y a plusieurs mois. En tant que tels, ils ont déjà fabriqué un patch de chipset qui a été déployé auprès du fabricant de votre appareil. La balle est maintenant fermement dans leur camp.

Presque tous les téléphones des dernières années sont #Quadroot vulnarables en chiffres! @google @GoogleIndia @ Mandy_017

- Srikanth Akula (@ srikie21) 9 août 2016

Un certain nombre de fabricants d'appareils populaires ont déjà pris des mesures pour rassurer leur base d'utilisateurs. Dans un cas, le correctif a déjà été déployé. Voici quelques-uns des principaux fabricants et leur statut actuel.

Google

Google a agi rapidement pour protéger ses utilisateurs.

“Les appareils Android dotés de notre dernier correctif de sécurité sont déjà protégés contre trois de ces quatre vulnérabilités. La quatrième vulnérabilité, CVE-2016-5340, sera abordée dans un prochain bulletin de sécurité Android, bien que les partenaires Android puissent agir plus rapidement en faisant référence au correctif public fourni par Qualcomm..”

En tant que développeurs principaux derrière Android, Google tenait également à souligner les autres mesures de sécurité déjà en place pour les appareils Android..

“Nos protections Verify Apps et SafetyNet aident à identifier, bloquer et supprimer les applications qui exploitent des vulnérabilités comme celles-ci..”

Appareils populaires: Nexus 5X, Nexus 6, Nexus 6P

la mûre

Comme je l'ai mentionné ci-dessus, un fabricant avait déjà proposé le correctif à ses utilisateurs. Félicitations et félicitations pour les piliers de la fabrication d’appareils, Blackberry.

“Trois des quatre vulnérabilités ont déjà été corrigées sur les périphériques PRIV avec le correctif August Marshmallow et sur tous les périphériques DTEK50. En outre, la chaîne de démarrage sécurisée présente dans tous les terminaux BlackBerry atténue naturellement le problème restant. Nous ne sommes au courant d'aucun exploit pour cette vulnérabilité et nous pensons qu'aucun client n'est actuellement exposé à ce problème..”

Appareil populaire: Blackberry Priv

Sony

Sony s’efforce de rendre les correctifs disponibles pour leurs appareils Qualcomm.

“Sony Mobile prend très au sérieux la sécurité et la confidentialité des données des clients. Nous sommes conscients de la vulnérabilité 'QuadRooter' et nous travaillons pour que les correctifs de sécurité soient disponibles dans le cadre de la maintenance logicielle normale et régulière, à la fois directement vers des appareils du marché ouvert et via nos partenaires opérateurs, afin que les délais puissent varier en fonction des régions et / ou des opérateurs..”

Appareil populaire: Sony Xperia Z Ultra

Motorola

Motorola est un autre fabricant capable de fournir de bonnes nouvelles.

“Récemment une faille de sécurité potentielle, Quadrooter a été découverte sur certains appareils Android. Cette vulnérabilité potentielle ne peut être exploitée que si un utilisateur désactive la mesure de sécurité intégrée à Android et télécharge une application malveillante. Pour plus d'informations sur la manière de vous assurer que cette fonctionnalité est désactivée, ce lien est utile pour les consommateurs..”

Appareil populaire: moto X

HTC

HTC a été quelque peu discret en ce qui concerne QuadRoot, considérant qu'au moins deux de leurs appareils risquent d'être exposés.

“HTC prend la sécurité des clients très au sérieux. Nous sommes au courant de ces informations et les enquêtons.”

Appareils populaires: HTC 10, HTC One M9

OnePlus

OnePlus a élaboré des plans d’urgence pour inclure la mise à jour QuadRoot dans son prochain correctif..

“La sécurité est une priorité absolue pour OnePlus. Les correctifs de sécurité appropriés seront inclus dans les prochaines mises à jour OTA (Over The Air) pour tous les appareils OnePlus..”

Samsung

Samsung n'a pas encore fait de déclaration officielle.

Appareils populaires: Galaxy S7, Galaxy S7 Edge

LG

Encore une fois, LG n'a encore fait aucune déclaration officielle.

Appareils populaires: LG G5, LG G4, LG V10

Temps d'inquiétude?

Comme pour la plupart des vulnérabilités de sécurité, vous devez rester vigilant. Ces vulnérabilités existent, mais à moins que vous ne téléchargiez une application avec le code malveillant correspondant, vous êtes peu susceptible de trouver votre appareil compromis.

Le Google Play Store contient plusieurs millions d'applications. l'application contenant un code malveillant Comment Android Porn Malware vole vos données Comment Android Android Malware vole vos données Des chevaux de Troie clicker porno malveillants se font passer pour des applications dupliquées, attendant d'infecter votre appareil Android. Quelle est leur prévalence? Que se passe-t-il si vous en téléchargez un, et surtout, comment pouvez-vous les éviter? Lire plus Conçu pour exploiter ces bugs particuliers pourrait être n'importe lequel d'entre eux Piratage sur Android: Comment est-il vraiment mauvais? Piraterie sur Android: à quel point est-ce vraiment mauvais? Android est réputé pour son piratage endémique, nous étudions donc à quel point il est grave. Lire la suite . En tant que tel, restez alerte. Vérifiez les commentaires. Vérifiez les informations relatives aux développeurs et aux éditeurs. Regardez les chiffres de téléchargement. Considérez les escroqueries courantes. Ne téléchargez pas d'applications ridicules qui permettent de transformer votre téléphone en quelque chose de différent.

Vous devez pouvoir éviter tout malfaiteur potentiel avant que le fabricant de votre appareil publie les correctifs pour renforcer votre sécurité. 6 applications de sécurité Android à installer aujourd'hui 6 applications de sécurité Android à installer dès aujourd'hui sont nécessaires si vous souhaitez utiliser un smartphone sécurisé. Regardons quelques-unes des meilleures applications de sécurité Android actuellement… En savoir plus. Cependant, ce dernier bogue met encore une fois en évidence les risques inhérents présents dans le modèle de sécurité Android. Contrairement à Apple, qui peut simplement développer un correctif et le déployer auprès de leurs centaines de millions d'utilisateurs, les correctifs de sécurité Android critiques doivent passer par toute la chaîne logistique de chaque fabricant avant d'atteindre les utilisateurs pour lesquels ils ont été conçus..

J'adore Android et je vais continuer à l'utiliser, mais en tant qu'utilisateur, vous devez rester sur vos gardes..

Inquiet pour QuadRoot? Est-ce que le nombre de vulnérabilités Android vous oblige à reconsidérer la plate-forme? Faites-nous savoir vos pensées ci-dessous!

En savoir plus sur: Smartphone Security.