Au moins 25 modèles de smartphones Android, dont 11 vendus par les principaux opérateurs américains, comportent des vulnérabilités prêtes à l'emploi, en faisant des proies faciles pour les pirates, selon une nouvelle étude de chercheurs en sécurité.

Les chercheurs de la firme Kryptowire ont découvert 38 vulnérabilités dans 25 téléphones Android, selon Wired. Ils vont de la possibilité de verrouiller quelqu'un hors de son appareil à l'obtention d'un accès non approuvé et secret au microphone du smartphone.

Ryan Johnson, directeur de recherche de Kryptowire, et Angelos Stavrou, le PDG de l'entreprise, ont récemment divulgué leurs conclusions lors de la conférence sur la sécurité Black Hat à Las Vegas, selon Wired. Les recherches de Kryptowire ont été partiellement financées par le Department of Homeland Security.

Les 11 téléphones Android répertoriés par Kryptowire comme vulnérables et populaires aux États-Unis sont un mélange de fabricants étrangers, tels que ZTE basé en Chine, Asus basé à Taïwan et LG basé en Corée du Sud et les fabricants de téléphones américains, comme Essential basé à Palo Alto, qui a été fondée par Andy Rubin, le créateur d'Android.

Une fois que les pirates ont exploité les vulnérabilités prédéfinies des téléphones Android, ils peuvent suivre chaque mouvement et transformer le téléphone en un outil de surveillance pour collecter des informations sur son propriétaire, selon CNET, qui a également rendu compte de l'étude. Les pirates pourraient enregistrer des écrans, faire des captures d'écran, faire une réinitialisation d'usine sur un appareil, et potentiellement obtenir des journaux de ce que le propriétaire tape, lecture et prise de contact.

Les vulnérabilités se sont en grande partie produites après que les fabricants ont bricolé le système d'exploitation Android ouvert à leur goût et n'ont pas considéré les problèmes de sécurité comme un sous-produit, selon Wired.

"Toutes ces vulnérabilités sont prépositionnées, " dit Stavrou, selon CNET. "C'est important parce que les consommateurs pensent qu'ils ne sont exposés que s'ils téléchargent quelque chose de mauvais."

Kryptowire a alerté les entreprises de smartphones des vulnérabilités avant la présentation, et les entreprises ont pris une gamme variée d'actions depuis. Essential a déclaré avoir corrigé les vulnérabilités peu de temps après avoir été informé, et LG, ZTE et Asus ont corrigé certains bugs et continuent de les résoudre, selon CNET.

©2018 The Mercury News (San José, Californie)
Distribué par Tribune Content Agency, LLC.