Des modèles de smartphones connus, issus de constructeurs comme Huawei ou Samsung, font état de failles de sécurité selon leur configuration régionale.
Android est en position de monopole dans le monde des systèmes d'exploitation mobiles, avec une part de marché globale qui oscillerait entre 85 et 90%. Alors forcément, toute faille potentielle présente sur l'OS de Google a de quoi inquiéter les utilisateurs. Le spécialiste de la cybersécurité F-Secure révèle à Clubic que plusieurs modèles de smartphone souffriraient de vulnérabilités qui permettraient de prendre le contrôle d'un appareil, en exploitant des failles liées à la configuration régionale de l'engin ainsi qu'à la carte SIM utilisée.
Le paramétrage régional de certains smartphones Android crée des distorsions de sécurité
Les spécialistes en sécurité informatique de F-Secure ont décelé des vulnérabilités sur trois smartphones bien connus du grand public : le Samsung Galaxy S9, le Huawei Mate 9 Pro et le Xiaomi Mi 9. Si les failles ne sont pas exactement comparables, elles ont tout de même un point commun : la sécurité de ces trois téléphones portables diffère selon les régions.
En d'autres termes, « pour un même appareil, les configurations varient et les consommateurs ne bénéficient pas tous des mêmes niveaux de sécurité », reformule F-Secure. Cela signifie que seuls les utilisateurs de certains pays vont être exposés à ces vulnérabilités, alors que ceux d'autres pays non. Une simple question - ô combien importante certes - de paramétrage.
« Un même modèle de téléphone est supposé fonctionner de la même manière partout dans le monde. Toutefois, les paramétrages différenciés établis par des fabricants tels que Samsung, Huawei et Xiaomi peuvent affaiblir considérablement la sécurité de ces appareils, en fonction de la région où ils sont configurés ou de la carte SIM qu'ils contiennent », nous explique James Loureiro, Directeur de la recherche chez F-Secure Consulting du côté du Royaume-Uni. On en vient aux détails.
Des failles jusqu'alors inconnues
Le Samsung Galaxy S9 est conçu pour déterminer la région dans laquelle la carte SIM que vous insérez dans ce dernier fonctionne. Les chercheurs de F-Secure ont découvert que sur ce modèle, l'insertion d'une carte SIM chinoise peut permettre l'exploitation d'une application et la prise totale de contrôle de l'appareil. Les cartes SIM non-chinoises issues d'autres pays ne génèrent pas ce problème.
Les spécialistes ont décelé des problèmes identiques chez le Huawei Mate 9 Pro et le Xiaomi Mi 9. Des piratages ont pu être lancés en configurant les appareils sur certaines régions uniquement. Par exemple, le Mate 9 Pro a pu être détourné en étant configuré pour la Chine, et le Mi 9 piraté en étant paramètre pour la Russie, la Chine, l'Inde et d'autres pays.
C'est dans le cadre du cours Pwn2Own, une compétition éthique de piratage durant laquelle des équipes essaient de pirater de multiples devices en exploitant des vulnérabilités zero-day (qui demeurent encore inconnues et n'ont pas fait l'objet d'une publication ni d'une correction), que F-Secure Consulting a pu identifier les failles. L'entreprise nous précise que les trois fabricants ont été consultés et que les vulnérabilités ont depuis été corrigées.
Source : F-Secure
