Les configurations et paramètres par défaut spécifiques à la région pour les appareils Android entraînent une posture de sécurité variable pour les utilisateurs mobiles

Au cours des dernières années, les chercheurs en sécurité ont réussi à casser divers téléphones Android lors des compétitions de piratage Pwn2Own. Maintenant, une entreprise a recueilli ses recherches et trouve un problème mondial potentiellement important: la sécurité d’Android peut dépendre du pays d’utilisation.

Un problème est la nature ouverte et globale du système d’exploitation Android. Les fabricants de combinés cherchent à se différencier et à gagner un avantage concurrentiel sur les autres fabricants en ajoutant leurs propres applications propriétaires à l’appareil Android par défaut – parfois appelé bloatware. « Plus précisément », a commenté le directeur de la recherche de F-Secure au Royaume-Uni, James Loureiro, « nous avons vu des appareils fournis avec plus de 100 applications ajoutées par le fournisseur, introduisant une surface d’attaque importante qui change selon la région. »

Lors de Mobile Pwn2Own 2017, F-Secure a utilisé des vulnérabilités dans les applications propriétaires Huawei HiApp et Read pour compromettre le Huawei Mate 9 Pro.

Tout aussi préoccupant est l’absence de la boutique d’applications officielle de Google Play dans certaines régions. La Chine, où l’accès à Google Play est interdit, en est un bon exemple. Xiaomi et Huawei ont été contraints de développer leurs propres magasins d’applications dédiés. Les chercheurs de F-Secure ont trouvé plusieurs vulnérabilités dans la Huawei AppGallery qui pourraient être exploitées pour créer une tête de pont pour des attaques supplémentaires. « Suite à ce compromis initial », disent les chercheurs, « un attaquant pourrait utiliser des vulnérabilités supplémentaires que les chercheurs ont découvertes dans Huawei iReader pour exécuter du code et voler des données de l’appareil. »

Une situation similaire existe avec la boutique GetApps de Xiaomi, où des vulnérabilités permettaient à un attaquant de prendre le contrôle total de l’appareil. La recherche a démontré qu’un attaquant pouvait compromettre la configuration par défaut du Xiaomi Mi 9 pour la Chine, l’Inde, la Russie et …