Les chercheurs ont notamment examiné le Huawei Mate 9 Pro, le Samsung Galaxy S9 et le Xiaomi Mi 9. Pour ces trois modèles, les vulnérabilités exploitées diffèrent mais un constat s’impose : la sécurité de ces smartphones vendus dans le monde entier varie selon les régions. Pour un même appareil, les configurations varient et les consommateurs ne bénéficient pas tous des mêmes niveaux de sécurité.
Selon James Loureiro, Directeur de la Recherche chez F-Secure Consulting au Royaume-Uni, ces différences observées mettent en lumière de nouvelles problématiques liées aux paramétrages différenciés d’Android.
« Un même modèle de téléphone est supposé fonctionner de la même manière partout dans le monde. Toutefois, les paramétrages différenciés établis par des fabricants tels que Samsung, Huawei et Xiaomi peuvent affaiblir considérablement la sécurité de ces appareils, en fonction de la région où ils sont configurés ou de la carte SIM qu’ils contiennent », explique-t-il. « Certains appareils proposés à la vente intègrent plus de 100 applications ajoutées par le fabricant, et ces dernières diffèrent selon les régions. La surface d’attaque d’un même appareil varie donc significativement en fonction du facteur géographique. »
Le Samsung Galaxy S9 détecte la région dans laquelle la carte SIM fonctionne, ce qui influence le comportement de l’appareil. F-Secure Consulting a découvert qu’il était possible d’exploiter une application et de prendre le contrôle total du téléphone lorsque celui-ci détectait une carte SIM chinoise. À l’inverse, ce type de piratage n’était pas possible avec des cartes SIM d’autres pays.
Les recherches menées sur les modèles Xiaomi et Huawei ont révélé des problèmes similaires. Pour ces deux téléphones, les chercheurs ont pu exécuter des piratages dans certaines régions seulement, en exploitant des réglages spécifiques (la Chine pour le Huawei Mate 9 Pro, et la Chine, la Russie, l’Inde et plusieurs autres pays pour le Xiaomi Mi 9).
F-Secure Consulting a identifié ces vulnérabilités au fil des ans, en menant des recherches en vue du concours Pwn2Own – une compétition de piratage éthique biannuelle où des équipes tentent de pirater divers appareils, en exploitant des vulnérabilités encore inconnues (0-day).
Mark Barnes, Senior Security Researcher chez F-Secure Consulting, déclare que ces découvertes ouvrent la voie à de nouveaux travaux de recherche sur les vulnérabilités, avec des retombées potentiellement significatives.
« Nos recherches ont donné un aperçu de l’ampleur des problèmes de sécurité posés par la prolifération des appareils Android personnalisés », explique-t-il. « Il devient essentiel de sensibiliser les fabricants mais aussi les grandes organisations qui opèrent dans plusieurs régions. »
F-Secure Consulting a réalisé des démonstrations d’attaques exploitant ces vulnérabilités au cours de plusieurs éditions du concours Pwn2Own. Ces résultats ont été partagés avec les fabricants concernés et toutes les vulnérabilités utilisées dans les attaques présentées ont été corrigées.
F-Secure Consulting opère depuis quatre continents, dans 11 pays, et fournit des services de cybersécurité adaptés aux besoins des banques, des services financiers, de l’aviation, du transport maritime, de la distribution, des assurances et d’autres organisations travaillant dans des secteurs très ciblés. Pour plus d’informations sur F-Secure Consulting, cliquez ici.
À propos de F-Secure
Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée en cybersécurité et cotée au NASDAQ OMX Helsinki Ltd. Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services. Des solutions de protection des postes de travail à la détection et réponses aux menaces avancées, nous veillons à ce que nos utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un acteur incontournable du marché européen.
