Android a ses petites faiblesses, mais elles sont bien connues

Par 04 janvier 2010
Mots-clés : Smart city

Cinq familles de vulnérabilités ont été identifiées dans ce système d'exploitation pour téléphones évolués. Pour remédier à certaines d'entre elles, des modifications en profondeur du code source seraient nécessaires.

Un groupe de chercheurs de l'université de Ben-Gurion en Israël vient de dévoiler les principaux groupes de vulnérabilités d'Android, ainsi que les parades pour y remédier. Normal, ce système d'exploitation pour ordiphone orchestré par Google pourrait connaître un vif succès. La logique voudrait donc que les groupes de malfaiteurs s'y intéressent de près pour voler des informations confidentielles à leurs utilisateurs. Les familles de risques sont au nombre de cinq. Les deux premières sont à même de compromettre la disponibilité du dispositif, de sa confidentialité ou de son intégrité.
Les cartes SD et les communications sans-fil pas assez protégées
Cela se ferait via les permissions accordées à une application installée, ou via une application exploitant les vulnérabilités du noyau Linux et des librairies systèmes. La troisième famille de risque concerne les cartes de stockage SD, qui "ne sont protégées par aucun mécanisme de contrôle d'accès" et les communications sans-fil, qui peuvent être piratées ("eavesdropped") à distance. Le groupe de failles potentielles concerne l'accaparement des ressources informatiques par une application. En effet, aucun quota de mémoire RAM ou d'espace disque n'est spécifié, ce qui pourrait faciliter leur vampirisation par l'un des services utilisés.
Peu de modifications en profondeur nécessaires
Dernier de la liste, la compromission via le réseau. Selon ces experts, les dispositifs sous Android peuvent être "attaqués par d'autres dispositifs, ordinateurs ou réseaux en effectuant un scan des ports, ou via des vers acheminés par SMS/MMS ou courriels". Quand on regarde le tableau des modifications conseillées établi par les Israéliens, la plupart de ces vulnérabilités ne demandent pas de changements en profondeur du système d'exploitation. Au pire nécessitent-elles l'ajout d'un fichier de configuration ou mieux encore d'une simple application. Deux améliorations de mécanismes posent vraiment problème : la certification des applications pour "limiter les damages potentiels causés par une application non certifiée" et la gestion des ressources, essentielle pour la lutte contre les attaques par déni de service (DoS).

Mentions légales © L’Atelier BNP Paribas