Vulnérabilité Quadrooter: 5 choses à savoir sur cette alerte à la sécurité Android

Encore une fois, c'est la saison des menaces de sécurité Android. Ce matin, des nouvelles ont été dévoilées concernant la dernière collection de vulnérabilités découverte par la société de sécurité Check Point et regroupées sous le surnom accrocheur "QuadRooter". Comme d'habitude, la plupart des reportages se sont concentrés sur les scénarios les plus défavorables et sur un nombre impressionnant d'appareils potentiellement vulnérables - dans le cas présent, environ 900 millions.

Nous allons décomposer exactement ce qui se passe et à quel point vous êtes susceptible d'être vulnérable. Continuer à lire.

1. C'est une chose de Qualcomm

Check Point ciblait spécifiquement Qualcomm en raison de sa position dominante dans l'écosystème Android. Du fait que tant de téléphones Android utilisent le matériel Qualcomm, les pilotes que Qualcomm apporte au logiciel de ces téléphones constituent une cible attrayante: un ensemble unique de vulnérabilités affectant une grande partie de la base d'utilisateurs Android. (Plus précisément, les bugs affectent la mise en réseau, les graphiques et le code d’allocation de mémoire.)

Les pilotes de Qualcomm constituent une grande cible attrayante.

Les quatre exploits constituant QuadRooter affectent les pilotes Qualcomm. Par conséquent, si vous possédez un téléphone n’utilisant aucun matériel Qualcomm - par exemple, un Galaxy S6 ou Note 5 (qui utilise le processeur Exynos et le modem Shannon de Samsung), vous ' ne sont pas concernés par cela.

2. C'est grave, mais rien n'indique qu'il soit utilisé à l'état sauvage

Comme son nom l’indique, QuadRoot est une collection de quatre exploits du code de Qualcomm qui pourraient permettre à une application malveillante d’obtenir les privilèges root - c’est-à-dire un accès permettant de faire n'importe quoi sur votre téléphone. À partir de là, vous pouvez imaginer de nombreux scénarios cauchemardesques: attaquants écoutant des appels téléphoniques, espionnage au travers de votre appareil photo, vol de détails financiers ou verrouillage de vos données avec un ransomware.

Personne ne parle encore de ces exploits dans la nature, ce qui est une bonne chose. (Check Point estime que les pirates vont l'intégrer dans des logiciels malveillants opérationnels d'ici trois ou quatre mois.) Toutefois, compte tenu des difficultés liées à la mise à jour du logiciel sur plus d'un milliard d'appareils Android, les créateurs de logiciels malveillants disposeront de suffisamment de temps pour comprendre une application pratique.

Mais…

3. Les chances sont que vous n'êtes pas réellement "vulnérable"

QuadRooter est l’un des nombreux problèmes de sécurité Android qui vous oblige à installer manuellement une application. Cela signifie qu'il faut aller manuellement dans les paramètres de sécurité et activer / désactiver la case à cocher "Sources inconnues".

Toute version qui nécessite l’installation manuelle d’une application se heurte à deux obstacles majeurs: le Play Store et la fonctionnalité intégrée "Verify Apps" d’Android.

Étant donné que Check Point a révélé les vulnérabilités pour la première fois en avril, Google analysait presque certainement les applications Play Store à la recherche de ces exploits depuis un certain temps. Cela signifie que tout ira bien si, comme la plupart des gens, vous ne téléchargez que des applications du Play Store.

Et même si ce n’est pas le cas, la fonctionnalité "Vérifier les applications" d’Android est conçue pour servir de couche de protection supplémentaire, en analysant les applications des sources tierces à la recherche de programmes malveillants connus avant de les installer. Cette fonctionnalité est activée par défaut dans toutes les versions d'Android depuis la version 4.2 du Jelly Bean de 2012 et, comme elle fait partie des services Google Play, elle est toujours mise à jour. Selon les statistiques les plus récentes disponibles, plus de 90% des appareils Android actifs utilisent la version 4.2 ou ultérieure.

Nous n'avons pas de confirmation explicite de Google que "Verify Apps" recherche QuadRooter, mais étant donné que Google en a été informé il y a plusieurs mois, il y a de fortes chances que ce soit le cas. Et si tel est le cas, Android identifiera toute application hébergeant QuadRooter comme étant nuisible et affichera un grand écran d’alerte effrayant avant de vous permettre de l’installer presque.

Mise à jour: Google a confirmé que Verify Apps peut détecter et bloquer QuadRooter.

Dans ce cas, êtes-vous toujours "vulnérable?" Bien techniquement. Vous pouvez éventuellement aller dans les paramètres de sécurité, activer les sources inconnues, puis ignorer l'avertissement plein écran vous informant que vous êtes sur le point d'installer un logiciel malveillant et de désactiver un autre paramètre de sécurité ailleurs. Mais à ce stade, dans une large mesure, c'est sur vous.

4. La sécurité Android est difficile, même avec des correctifs mensuels

Un aspect intéressant de la saga QuadRooter est ce qu’elle nous montre sur les défis de sécurité Android qui subsistent, même dans un monde de correctifs de sécurité mensuels. Trois des quatre vulnérabilités ont été corrigées dans les derniers correctifs d'août 2016, mais une a apparemment glissé entre les mailles du filet et ne le sera pas avant le correctif de septembre. Cela suscite des préoccupations légitimes étant donné que la divulgation a eu lieu en avril.

Toutefois, un représentant de Qualcomm a déclaré à ZDNet que le fabricant de puces avait envoyé ses propres correctifs aux fabricants entre avril et juillet. Il est donc possible que certains modèles aient été mis à jour en dehors du mécanisme de correction de Google. Cela ne fait que souligner la confusion liée à un niveau de correctif explicite de Google, tandis que les fabricants de périphériques et les fabricants de composants fournissent également des correctifs de sécurité.

La plupart des fabricants de téléphones Android craignent d’émettre des correctifs de sécurité. Et même les appareils les plus récents ne seront complètement corrigés avant un mois.

Pour l'instant, le seul moyen de savoir si votre téléphone est théoriquement vulnérable consiste à télécharger l'application du scanner QuadRoot de Check Point à partir du Play Store.

Même une fois les correctifs publiés, ils doivent passer par les fabricants d’appareils et les opérateurs avant d’être envoyés au téléphone. Et bien que certaines sociétés telles que Samsung, BlackBerry et (naturellement) Google aient rapidement veillé à ce que les derniers correctifs soient disponibles, la plupart des fabricants d’appareils Android ne sont pas aussi rapides que possible, en particulier pour les téléphones plus anciens ou moins chers.

QuadRooter souligne à quel point l'omniprésence des appareils Android basés sur Qualcomm en fait une cible attrayante, tandis que la variété du matériel dans son ensemble rend leur mise à jour presque impossible.

5. Nous avons été ici avant

• Nom marketing accrocheur? Vérifier.
• Nombre effrayant d'appareils "vulnérables"? Vérifier.
• Application de détection gratuite colportée par une société de sécurité avec un produit à vendre? Vérifier.
• Aucune preuve d'utilisation à l'état sauvage? Vérifier.
• Appuyez de manière générale en ignorant le Play Store et vérifiez les applications comme un obstacle aux exploits basés sur les applications? Vérifier.

C'est la même danse que nous faisons chaque année autour du temps de conférence de sécurité. En 2014, c'était une fausse identité. En 2015, c'était Stagefright. Malheureusement, la compréhension des problèmes de sécurité d'Android dans les médias en général est restée lamentable, ce qui signifie que des chiffres tels que les "900 millions" affectés rebondissent sans contexte.

Si vous êtes intelligent en ce qui concerne les applications que vous installez, il n'y a pas de quoi s'inquiéter. Et même si vous ne l'êtes pas, il est probable que Play Services et Verify Apps vous soutiendront.

PLUS: Android Malware - devriez-vous être inquiet?