Encore une fois, c'est Saison de peur de la sécurité Android. Ce matin, les nouvelles de la dernière collection de vulnérabilités ont été découvertes par la société de sécurité Check Point et regroupées sous le surnom accrocheur «QuadRooter». Comme d'habitude, la plupart des rapports se sont concentrés sur les pires scénarios et un nombre scandaleusement énorme d'appareils potentiellement vulnérables - dans ce cas, environ 900 million.
Nous allons expliquer exactement ce qui se passe et à quel point vous êtes susceptible d'être vulnérable. Continuer à lire.
1. C'est un truc Qualcomm
Check Point a spécifiquement ciblé Qualcomm en raison de sa position dominante dans l'écosystème Android. Parce que de nombreux téléphones Android utilisent du matériel Qualcomm, les pilotes Qualcomm contribuent au logiciel sur ces les téléphones constituent une cible attrayante - un ensemble unique de vulnérabilités affectant une grande partie d'Android base d'utilisateur. (Plus précisément, les bogues affectent le réseau, les graphiques et le code d'allocation de mémoire.)
Les quatre exploits qui composent QuadRooter affectent les pilotes Qualcomm, donc si vous avez un téléphone qui n'utilise pas de matériel Qualcomm à tous - par exemple, un Galaxy S6 ou Note 5 (qui utilise le propre processeur Exynos de Samsung et un modem Shannon), vous n'êtes pas affecté par ce.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
2. C'est sérieux, mais il n'y a aucune preuve qu'il soit utilisé dans la nature
Comme son nom l'indique, QuadRoot est une collection de quatre exploits dans le code de Qualcomm qui pourraient permettre à une application malveillante d'obtenir des privilèges root, c'est-à-dire un accès pour faire pratiquement n'importe quoi sur votre téléphone. À partir de là, vous pouvez imaginer un nombre illimité de scénarios de cauchemar: des attaquants écoutant au téléphone appels, espionnage à travers votre caméra, vol de détails financiers ou verrouillage de vos données avec ransomware.
Personne ne parle encore de ces exploits dans la nature, ce qui est une bonne chose. (Check Point estime que les méchants le feront emballer dans des logiciels malveillants fonctionnels d'ici trois ou quatre mois.) Cependant, étant donné les défis impliqués dans la mise à jour du logiciel sur plus d'un milliard d'appareils Android, les créateurs de logiciels malveillants auront amplement le temps de trouver un application.
Mais...
3. Il y a de fortes chances que vous ne soyez pas réellement «vulnérable»
QuadRooter est l'un des nombreux Problèmes de sécurité Android cela vous oblige à installer manuellement une application. Cela signifie manuellement aller dans les paramètres de sécurité et activer la case à cocher "Sources inconnues".
Toute vuln qui vous oblige à installer manuellement une application se heurte à deux obstacles majeurs: le Play Store et la fonctionnalité intégrée "Vérifier les applications" d'Android.
Étant donné que Check Point a révélé les vulnérabilités pour la première fois en avril, Google analyse presque certainement les applications du Play Store à la recherche de ces exploits depuis un certain temps. Cela signifie que tout ira bien si, comme la plupart des gens, vous téléchargez uniquement des applications à partir du Play Store.
Et même si vous ne le faites pas, la fonction "Vérifier les applications" d'Android est conçue pour agir comme une couche de protection supplémentaire, en analysant les applications provenant de sources tierces à la recherche de logiciels malveillants connus avant l'installation. Cette fonctionnalité est activée par défaut dans toutes les versions d'Android depuis la version 4.2 Jelly Bean de 2012, et comme elle fait partie des services Google Play, elle est toujours mise à jour. À partir du statistiques les plus récentes disponible, plus de 90% des appareils Android actifs exécutent la version 4.2 ou ultérieure.
Nous n'avons pas de confirmation explicite de Google que «Verify Apps» recherche QuadRooter, mais étant donné que Google a été informé il y a des mois, il y a de fortes chances que ce soit le cas. Et si tel est le cas, Android identifiera toute application hébergeant QuadRooter comme nuisible et affichera un grand écran d'avertissement effrayant avant de vous permettre de l'installer.
Mettre à jour: Google a confirmé que Verify Apps peut détecter et bloquer QuadRooter.
Dans ce cas, êtes-vous toujours «vulnérable»? bien techniquement. Vous pouvez éventuellement accéder aux paramètres de sécurité, activer les sources inconnues, puis ignorer l'avertissement en plein écran que vous êtes sur le point d'installer un logiciel malveillant et désactiver un autre paramètre de sécurité ailleurs. Mais à ce stade, dans une large mesure, c'est sur vous.
4. La sécurité Android est difficile, même avec des correctifs mensuels
Un aspect intéressant de la saga QuadRooter est ce qu'il nous montre sur les défis de sécurité Android qui subsistent, même dans un monde de correctifs de sécurité mensuels. Trois des quatre vulnérabilités sont corrigées dans les derniers correctifs d'août 2016, mais une a apparemment passé entre les mailles du filet et ne sera pas corrigée avant le correctif de septembre. C'est une source de préoccupation légitime étant donné que la divulgation a eu lieu en avril.
Cependant, un représentant de Qualcomm a déclaré ZDNet que le fabricant de puces avait publié ses propres correctifs aux fabricants entre avril et juillet, il est donc possible que certains modèles aient été mis à jour en dehors du mécanisme de correctif de Google. Cela ne fait que souligner la confusion liée au niveau de correctif explicite de Google, tandis que les fabricants d'appareils et les fabricants de composants fournissent également des correctifs de sécurité.
Pour l'instant, le seul moyen de savoir si votre téléphone est théoriquement vulnérable est de télécharger Check Point's Application de numérisation QuadRoot depuis le Play Store.
Même une fois que les correctifs sont émis, ils doivent passer par les fabricants d'appareils et les opérateurs avant d'être transférés vers les téléphones. Et bien que certaines entreprises comme Samsung, BlackBerry et (naturellement) Google se soient rapidement assurées que les derniers correctifs soient disponibles, la plupart des personnes qui fabriquent des appareils Android sont loin d'être aussi opportunes, en particulier lorsqu'il s'agit de produits plus anciens ou moins chers Téléphone (s.
QuadRooter souligne à quel point l'omniprésence des appareils Android basés sur Qualcomm en fait une cible attrayante, tandis que la variété du matériel dans son ensemble rend leur mise à jour presque impossible.
5. Nous sommes déjà venus ici
- Nom marketing accrocheur? Vérifier.
- Grand nombre effrayant d'appareils «vulnérables»? Vérifier.
- Application de détection gratuite vendue par une société de sécurité avec un produit à vendre? Vérifier.
- Aucune preuve d'utilisation dans la nature? Vérifier.
- Appuyez en général en ignorant le Play Store et vérifiez les applications comme un barrage routier contre les exploits basés sur les applications? Vérifier.
C'est la même danse que nous faisons chaque année à l'heure de la conférence sur la sécurité. En 2014, c'était Fausse carte d'identité. En 2015, c'était Trac. Malheureusement, la compréhension des problèmes de sécurité Android dans les médias en général est restée lamentable, et cela signifie des chiffres comme les «900 millions» affectés rebondissent autour de la chambre d'écho sans le contexte.
Si vous êtes intelligent avec les applications que vous installez, il n'y a pas beaucoup de raisons de s'inquiéter. Et même si ce n'est pas le cas, il y a de fortes chances que les services Play et Verify Apps vous soutiennent.
PLUS: Android Malware - devriez-vous vous inquiéter?
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, analyses et prises de vues, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix et plus
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant jusqu'à trois ans.
Voici les meilleurs cas pour le Galaxy S10.
Même s'il ne s'agit pas du téléphone le plus récent sur le marché, le Galaxy S10 est l'un des téléphones les plus beaux et les plus glissants du marché. Assurez-vous de l'équiper avec l'un de ces étuis.