X-Ray – Vérifiez si votre téléphone est vulnérable
Vous avez certainement tous l’habitude de mettre régulièrement à jour votre PC avec les derniers correctifs des applications ou du système afin de boucher les failles de sécurités qui sont trouvées jour après jour.
Ce qui est valable pour un PC de bureau l’est aussi pour tous les appareils informatiques, tels que vos smartphones Android. C’est pourquoi il est important d’avoir une version la plus à jour possible d’Android. Sur ce point les utilisateurs sont pour la plupart totalement dépendant du bon vouloir des fabricants, mais également des opérateurs qui livrent souvent des téléphones avec leur propre surcouche.
Pour savoir si votre téléphone présente un risque ou pas, vous pouvez utiliser l’application X-Ray développée par Duo Security.
Plutôt que de scanner les applications installées pour déceler celles qui sont malveillantes, l’application X-Ray analyse votre téléphone pour y détecter les failles connues qui pourraient être exploitée par n’importe quelle application, qu’elle soit connue par les antimalware (et donc détectable) ou qu’elle ait été créée il y a 5 minutes et donc potentiellement inconnue.
Ce qu’il faut bien comprendre, c’est qu’en exploitant ces failles de sécurité, l’application va contourner tous les mécanismes de droits d’accès. Elle pourra sembler inoffensive (en ne demandant, par exemple que le droit d’accéder à Internet ou même aucune permission) et par derrière elle prendra le contrôle de votre téléphone en s’exécutant en tant que « root ».
Afin de vous montrer l’étendue des dégâts, j’ai lancé cette application sur mon vénérable Motorola Milestone qui n’a pas reçu de mise à jour officielle depuis bien longtemps et qui tourne sous Android 2.2.1 « Froyo » ; Résultat : 5 vulnérabilités détectées (Exploid, ASHMEM, ZergRush, Gingerbreak, Levitator) !
Sans rentrer dans les détails, retenez juste que ces vulnérabilités permettent de faire en sorte qu’une application « sorte du bac à sable » dans lequel elle est sensée s’exécuter en obtenant les privilèges du super utilisateur : « root ».
Autant vous êtes nombreux à rooter vos téléphone (pratique que personnellement je n’aime pas mais c’est vous qui voyez …) autant je suis sûr que vous n’aimez pas trop l’idée que n’importe quelle application puisse le faire à votre insu ….
A titre de comparaison, mon Nexus S, fraichement mis à jour sous Android 4.1.1 « Jelly Bean » passe avec succès le test des vulnérabilités connues par cet application.
C’est bien joli tout ça me direz-vous, qu’est-ce que je fais si X-Ray m’indique que mon téléphone m’indique que je suis vulnérable ?
Tout d’abord assurez-vous que vous avez bien installé la toute dernière version d’Android disponible pour votre modèle de téléphone. Si c’est le cas et que vous des vulnérabilités sont toujours présentes, vous pouvez, soit vivre avec, soit si vous considérez que le risque n’est pas acceptable pour vous, envisager de migrer vers une ROM alternative (genre CyanogenMod) ou de passer vers un téléphone plus récent. Si vous êtes vraiment parano, envisagez plutôt un téléphone de la gamme Nexus (Genre Nexus S, Galaxy Nexus, … ) histoire de recevoir les mise à jour d’Android en primeur.
Si l’un d’entre vous voulait bien faire le test sur le Galaxy SIII et le Galaxy SII (Avec la version officielle) et nous faire part du résultat en commentant cet article, je pense que ça intéresserait pas mal de monde de savoir ce que ça donne.
(Si vous avez un autre modèle de téléphone et/ou une ROM alternative, n’hésitez pas à également partager vos résultats)
Merci à Christophe Aeschlimann qui a mentionné cette application sur la page Facebook : J'ai un téléphone ou une tablette Android et je vis en Romandie
N’hésitez pas soit à présenter vous-même les applications qui valent la peine en rédigeant un petit article sur le site (vous êtes les bienvenus) ou en me signalant ces applications via le formulaire de contact ou les différentes pages Facebook qui tournent autour de Romandroid.ch
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
-
J'ai la même objection
J'ai posé la question aux développeurs à ce sujet. On verra si j'obtiens une réponse.
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
en même temps avant que
en même temps avant que google n'accepte une application qui tente d'utiliser la quasi-totalité des failles connues...
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
Réponse officielle: Google n'en veut pas.
Selon le développeur, Google aurait refusé que l'application soit disponible sur le Market en argumentant que la recherche de vulnérabilités était contraire aux conditions d'utilisation du Google Play Store.
Navrant !
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
et si cette application, sous
et si cette application, sous couvert de chercher les vulnérabilités, en exploitait ? google aurait l'air malin de l'avoir autorisé. ils ne peuvent l'autoriser qu'avec une review attentive de l'ensemble de l'application, et je ne suis pas sûr qu'ils aient envie d'y passer le temps nécessaire
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
Et bien ...
... j'aime vivre dangereusement et j'ai testé mon SGII swisscom en ROM officielle 4.0.3 et aucune faille :)
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
Ouais
Peut-être une bonne application, je ne sais pas, mais quand je dois commencer par aller chercher une apk hors du PlayStore, ma première envie est de ne même pas essayer, surtout pour une application de sécurité.
Même si être dans le store officiel n'est pas un gage à 100%, je préfère attendre que cette app y soit officiellement.
Tant pis pour moi ;)