Les applications Android préinstallées par les constructeurs sont truffées de failles de sécurité, rapporte Kryptowire. Les chercheurs ont en effet découvert 146 brèches dans les applications installées par défaut par des firmes comme Asus, Samsung ou Xiaomi. Certaines de ces failles permettraient à un pirate de mettre sur écoute les utilisateurs grâce au micro de leur smartphone. 

Les applications Android installées par défaut par des marques sont touchées par 146 failles de sécurité différentes, rapportent les experts en cybersécurité de Kryptowire. Ces failles permettraient théoriquement à un attaquant de lancer des commandes malveillantes sur votre smartphone à votre insu, d'enregistrer les sons alentours via le microphone, d'enregistrer une vidéo, de prendre des captures d'écran, d'installer des malwares ou de modifier les paramètres réseau.

Selon Kryptowire, les constructeurs Android autorisent parfois trop facilement des tierces parties à accéder au développement de leurs logiciels. Certains fabricants, notamment les plus modestes, ont en effet recours à des développeurs tiers pour mettre au point leur surcouche et leurs applications préinstallées. “Nous pensons que si vous êtes un fournisseur, vous ne devriez octroyer à personne d'autre le même niveau d'autorisations que vous dans le système” tacle Angelos Stavrou, PDG de Kryptowire, lors d'une interview accordée à Wired ce 15 novembre 2019.

“L'écosystème Android implique des centaines de fournisseurs qui ne coopèrent pas nécessairement entre eux ou ne disposent d'aucun processus d'assurance qualité” continue le dirigeant. “Dans la course à la création de smartphones bon marché, je pense que la qualité des logiciels est négligée ce qui met en danger les utilisateurs” met en garde Angelos Stavrou. C'est aussi à cause de développeurs tiers que des malwares sont parfois cachés dans des applications par défaut, estime Google. La firme de Mountain View a par exemple découvert le malware Triada sur plusieurs smartphones Leagoo et Nomu en juin 2019.

“Kryptowire a mis au point un moteur automatisé de découverte de vulnérabilités qui permet de scanner les micrologiciels des constructeurs à distance” explique le rapport. Ce dispositif devrait permettre aux fabricants de smartphones d‘identifier les failles de leurs applications avant de les installer sur leurs terminaux.

Lire également : une faille Android permet de vous espionner grâce à vos écouteurs Bluetooth

33 failles de sécurité repérées dans les applications par défaut de Samsung

Grâce à leur nouveau logiciel, les chercheurs de Kryptowire ont ainsi repéré 33 failles dans six applications préinstallées sur les smartphones de Samsung. Deux de ces applications ont été développées par des prestataires extérieurs au groupe sud-coréen. Interrogé par Wired, Samsung assure avoir “examiné les applications en question et déterminé que les protections appropriées étaient déjà en place”. Selon le fabricant, ces brèches ne mettent donc pas en danger les usagers. Kryptowire n'a pas levé le voile sur la liste des applications contenant une faille. Que pensez-vous de ce nouveau rapport ? On attend votre avis dans les commentaires.

Source : Kryptowire