Critical Android flaws patched in February bulletin – Naked Security
mercredi 5 février 2020 à 13:03Google vient de corriger des failles de sécurité critiques dans Android 8.0, 8.1, 9 et 10.
Parmi ces failles, la possibilité de faire exécuter arbitrairement du code à votre téléphone par votre android par bluetooth (https://www.theregister.co.uk/2020/02/07/android_bluetooth_flaw/)
Vous pouvez être à peu près certains que le fabricant de votre téléphone ne fera pas l'effort de les intégrer et que vous ne verrez pas de mise à jour. Et je pense que ça sera le cas de 95% des téléphones Android. Au bas mot.
Pourquoi ? Parce que chaque fabricant ajoute sa surcouche à Android, et que c'est trop long et coûteux de la ré-adapter aux nouvelles versions d'Android qui sortent. (TouchWiz chez Samsung, MIUI chez Xiaomi, XperiaUI chez Sony, Emotion UI chez Huawei/Honor, etc.)
On voit où les fabricants de téléphone mettent la priorité: Concevoir et sortir en permanence de nouveaux modèles pour occuper le marché et vendre, vendre, vendre. Votre sécurité est tout à fait secondaire pour eux.
Nous utilisons tous au quotidien de véritables passoires du point de vue sécurité.
Et c'est aussi pour cela qu'il est aussi facile de pirater ou aspirer les données avec des machines comme celle de Cellebrite: https://sebsauvage.net/links/?Yul2Rw
(D'où l'intérêt des téléphones Android One avec leurs mises à jour mensuelles. Un Android à jour, ça semble bien compliquer les choses: https://sebsauvage.net/links/?GL6_Vw)
Avec un peu de chance, le fabricant de votre téléphone aura adhéré à Project Treble. Explications: https://www.frandroid.com/comment-faire/tutoriaux/trucs-et-astuces/474808_quest-ce-que-treble-et-comment-verifier-la-compatibilite-de-son-appareil-sous-oreo-tuto
(Et application pour vérifier: https://play.google.com/store/apps/details?id=com.kevintresuelo.treble)
(Permalink)
Parmi ces failles, la possibilité de faire exécuter arbitrairement du code à votre téléphone par votre android par bluetooth (https://www.theregister.co.uk/2020/02/07/android_bluetooth_flaw/)
Vous pouvez être à peu près certains que le fabricant de votre téléphone ne fera pas l'effort de les intégrer et que vous ne verrez pas de mise à jour. Et je pense que ça sera le cas de 95% des téléphones Android. Au bas mot.
Pourquoi ? Parce que chaque fabricant ajoute sa surcouche à Android, et que c'est trop long et coûteux de la ré-adapter aux nouvelles versions d'Android qui sortent. (TouchWiz chez Samsung, MIUI chez Xiaomi, XperiaUI chez Sony, Emotion UI chez Huawei/Honor, etc.)
On voit où les fabricants de téléphone mettent la priorité: Concevoir et sortir en permanence de nouveaux modèles pour occuper le marché et vendre, vendre, vendre. Votre sécurité est tout à fait secondaire pour eux.
Nous utilisons tous au quotidien de véritables passoires du point de vue sécurité.
Et c'est aussi pour cela qu'il est aussi facile de pirater ou aspirer les données avec des machines comme celle de Cellebrite: https://sebsauvage.net/links/?Yul2Rw
(D'où l'intérêt des téléphones Android One avec leurs mises à jour mensuelles. Un Android à jour, ça semble bien compliquer les choses: https://sebsauvage.net/links/?GL6_Vw)
Avec un peu de chance, le fabricant de votre téléphone aura adhéré à Project Treble. Explications: https://www.frandroid.com/comment-faire/tutoriaux/trucs-et-astuces/474808_quest-ce-que-treble-et-comment-verifier-la-compatibilite-de-son-appareil-sous-oreo-tuto
(Et application pour vérifier: https://play.google.com/store/apps/details?id=com.kevintresuelo.treble)
(Permalink)