Votre smartphone chinois pourrait avoir un grave problème de sécurité
Il peut être difficile de résister à l'attrait d'un smartphone bon marché, d'autant plus qu'ils sont maintenant presque aussi capables que des modèles plus chers. C’est pour cette raison que des fabricants chinois jusqu’alors inconnus comme Huawei et Xiaomi dépassent rapidement Pourquoi votre prochain smartphone Android devrait-il être chinois? Pourquoi votre prochain smartphone Android devrait-il être chinois? Pendant des années, les smartphones chinois ont acquis une mauvaise réputation envisager d'en obtenir un maintenant. En savoir plus, des fabricants haut de gamme bien établis, tels que Samsung, Sony et même Apple.
Mais, comme dans toutes les choses, vous en avez pour votre argent. Une vulnérabilité récemment découverte dans de nombreux téléphones chinois à prix modique, qui pourrait permettre à un attaquant d'obtenir un accès root, prouve ce mode de fonctionnement. Voici ce que vous devez savoir.
Comprendre l'attaque
Jargon Buster (Guide sur la compréhension des processeurs mobiles) Guide sur la compréhension des processeurs mobiles Dans ce guide, nous allons passer à travers le jargon pour expliquer ce que vous devez savoir sur les processeurs de smartphone. Lire la suite ) construit par MediaTek, société taïwanaise, qui est l’un des plus grands fabricants de semi-conducteurs au monde. En 2013, ils ont produit une quantité phénoménale de 220 millions de puces pour smartphone. L'un de leurs plus gros vendeurs est le MT6582, qui est utilisé dans un certain nombre de smartphones bas de gamme, dont beaucoup sont produits par des fabricants chinois tels que Lenovo et Huawei..
Le MT6582 est venu avec un réglage de débogage activé qui, selon le fabricant, a été utilisé pour tester “interopérabilité des télécommunications” en Chine.
Bien que cela ait été nécessaire pour que MediaTek puisse réellement concevoir la puce et s’assurer de son bon fonctionnement, la laisser sur un appareil grand public représente un risque de sécurité incroyable pour les consommateurs. Pourquoi? Parce qu’il permet à un attaquant, ou à un logiciel malveillant, d’avoir un accès root au téléphone.
Donc, Mediatek a cassé les fonctionnalités de sécurité de base pour que ce travail soit une porte dérobée. Les propriétés en lecture seule ne sont PAS en lecture seule! pic.twitter.com/pEjtMNpo9v
- Justin Case (@jcase) 13 janvier 2016
À partir de cela, ils pourraient modifier et supprimer des paramètres et des fichiers système importants, espionner l'utilisateur et installer encore plus de logiciels malveillants sans le consentement de l'utilisateur. Si un attaquant le souhaitait, il pourrait même bricoler le téléphone, le rendant définitivement inutilisable..
Selon The Register, cette vulnérabilité ne peut être exécutée que sur les téléphones exécutant la version 4.4 du KitKat du système d'exploitation Android..
La découverte de cette vulnérabilité fait suite à une faille similaire trouvée dans le trousseau de clés d’exploitation de la version 3.8 du noyau Linux, révélé par des chercheurs en janvier. Cette folie insensée sous Linux confère à tout le monde un accès racine. Cette faille insensée sous Linux confère à tout un chacun un accès racine. Pour votre boîte Lire la suite. Une fois exploitée, cette vulnérabilité aurait permis à un attaquant d'obtenir l'accès root à la machine..
Cette vulnérabilité concernait pratiquement toutes les distributions de Linux, ainsi que plusieurs téléphones Android. Heureusement, un correctif a été publié rapidement.
Posez vos fourches
Bien que les téléphones de Lenovo et de Huawei soient particulièrement touchés, vous ne devriez pas leur en vouloir. Même si cela peut sembler attrayant, certains de ces fabricants ont des antécédents d'impropriété en matière de sécurité.
Lenovo est particulièrement coupable de cela. En 2014, ils ont rompu le SSL pour tous leurs utilisateurs avec SuperFish Propriétaires d'ordinateurs Lenovo Attention: votre appareil a peut-être préinstallé des logiciels malveillants Lenovo Un propriétaire d'ordinateurs Lenovo a été préinstallé: un appareil peut avoir préinstallé des logiciels malveillants En 2014, les logiciels malveillants étaient préinstallés. Lire la suite . Ensuite, ils ont chargé leurs ordinateurs portables de logiciels malveillants inamovibles, basés sur le BIOS. Ensuite, ils ont installé un programme d’analyse effrayant et Big Brother. Trois logiciels malveillants préinstallés sont installés sur les ordinateurs portables Lenovo. Trois logiciels malveillants préinstallés sont installés sur les ordinateurs portables Lenovo. Pour la troisième fois en un an, Lenovo expédie à ses clients des ordinateurs empreints de confidentialité. malicieux, démontrant qu'ils n'ont pas appris les leçons du tollé général suscité par Superfish. En savoir plus sur leurs ordinateurs de bureau ThinkPad et ThinkCenter haut de gamme.
Mais ici, leurs mains sont propres. Pour une fois. MediaTek a été blâmé et a envoyé ces puces aux fabricants grâce à ce paramètre..
Suis-je concerné?
Il convient de souligner que cette vulnérabilité n'aura pas la même portée que la vulnérabilité mentionnée ci-dessus sous Linux. La vulnérabilité ne concerne que les téléphones fonctionnant sur un jeu de puces qui n'a été livrée sur aucun téléphone sorti en 2015 et 2016..
Il ne peut également être exécuté que sur des téléphones fonctionnant sous une version très spécifique d'Android, qui, malgré son utilisation sur environ un tiers des téléphones Android, n'est en aucun cas omniprésent..
Malgré cela, c'est probablement une bonne idée de vérifier si votre téléphone est vulnérable. Il se trouve que je possède un téléphone chinois économique - un Huawei Honor 3C, qui était mon appareil principal jusqu'à ce que je passe à Windows Phone en août.
Tout d’abord, j’ai cherché l’appareil sur GSMArena. C’est essentiellement le Encyclopédie Britannica de téléphones. Si un grand fabricant le publie, ce site Web fournira des statistiques détaillées à ce sujet. Vous trouverez des informations sur le chipset utilisé ci-dessous. Plate-forme. Effectivement, mon téléphone Huawei le contient.
Alors, il me faut voir si j'utilise la version concernée d'Android. j'ai ouvert Réglages, puis mis sur écoute A propos du téléphone. Cela pourrait être un peu différent pour votre téléphone cependant. Les fabricants sont connus pour personnaliser le menu des paramètres.
Heureusement, mon téléphone utilise Android 4.2 Jellybean, qui, malgré sa longueur, n’est pas affecté par cette vulnérabilité.
Si vous êtes affecté
Bien que j'ai eu de la chance, on peut supposer que cela affectera des millions de téléphones. Si vous êtes, vous serait sage d'acheter un nouveau téléphone.
Motorola Moto G Le Moto G est officiellement ici pour seulement 179 $ débloqué Le Moto G est officiellement ici pour seulement 179 $ Débloqué Motorola vient d'annoncer le rumeur selon laquelle le Moto G, cousin moins cher du Moto X, coûtera 179 $ pour le modèle 8 Go et 199 $ pour le modèle 16Go. Read More est un téléphone à petit budget, fabriqué par un fabricant de confiance. Vous pouvez en obtenir un sur Amazon pour seulement 110 $. En prime, Motorola est plutôt rapide en ce qui concerne l’émission de mises à jour logicielles, ce que Huawei n’est certainement pas.
Motorola Moto G (2ème génération) téléphone portable déverrouillé, 8 Go, noir Motorola Moto G (2ème génération) téléphone portable déverrouillé, 8 Go, noir Acheter maintenant sur Amazon $ 74.99
Si vous ne pouvez pas vous permettre une mise à niveau, il serait sage de prendre quelques précautions de sécurité simples. Tout d’abord, essayez d’éviter de télécharger des logiciels à partir de sources peu recommandables. Évitez de télécharger des applications piratées. Applications et jeux Android crackés: à lire avant de télécharger des applications et jeux Android piratés: à lire avant de télécharger Les statistiques ne mentent pas: la plupart des logiciels malveillants Android proviennent de l'extérieur de Google Play. Télécharger des applications piratées - ou tout type d'application - à partir d'un site Web louche ou d'une boutique d'applications tierces peu fiables est le moyen le plus simple… Read More and “Warez“ comme la peste. S'en tenir à la boutique Google Play.
Il est probable que de nombreux utilisateurs concernés seront basés en Chine, où la boutique Google Play n'est pas disponible. Les consommateurs chinois doivent se débrouiller avec d'autres magasins d'applications alternatifs. Alternatives Google Play pour télécharger des applications Android sans chichis Alternatives Google Play pour télécharger des applications Android sans chichus Beaucoup de gens pensent que Google Play Store est la seule option disponible pour les utilisateurs d'Android pour le téléchargement d'applications. sont en fait un bon nombre de solutions de qualité sur le marché. En savoir plus, dont beaucoup ne sont pas aussi vigilants que Google en matière de filtrage des logiciels malveillants. Ces consommateurs seraient invités à faire très attention.
En bref: avoir peur, mais ne pas
Cette vulnérabilité est effrayante. Cela fait peur parce que cela dépend de la configuration d'un matériel particulier. C'est effrayant parce qu'il n'y a aucune mesure qu'un consommateur puisse prendre pour rester en sécurité.
Mais il convient de souligner que la majorité des consommateurs ne seront pas touchés. Il ne concerne qu'un nombre limité d'appareils, qui ont été commercialisés par une poignée de fabricants vers 2013 et 2014. La plupart des gens devrait être bien.
Avez-vous été touché? Si oui, aurez-vous un nouveau téléphone? Ou n'êtes-vous pas tous concernés? Laissez-moi savoir dans les commentaires ci-dessous.
En savoir plus sur: Smartphone Security.