Project Zero, un programme centré sur la sécurité initié par Google, s’est penché sur le Galaxy S6 edge afin de vérifier s’il était bien sécurisé ou non. La réponse est non…

c_Galaxy-S6-Edge-test-DSC08278

Depuis quelque temps, Google s’intéresse de près à la sécurité et tente de se racheter une bonne conduite. Cet été, le géant de Mountain View a par exemple annoncé que son système d’exploitation mobile serait désormais mis à jour mensuellement afin de corriger toutes les failles de sécurité possiblement découvertes. Malheureusement, Android est en grande partie représenté par des constructeurs tiers, qui modifient le code originel, et ouvrent éventuellement de nouveaux accès aux esprits mal intentionnés.

Afin de se rendre compte de la gravité de la situation, Google s’est penché sur le Galaxy S6 edge, un smartphone récent et particulièrement populaire, donc davantage sensible aux attaques. Plusieurs équipes se sont donc réunies afin de passer au crible le téléphone coréen en se concentrant sur trois domaines en particulier :

  1. Avoir accès aux contacts, photos et messages à distance (plus de points étaient attribués pour les failles ne nécessitant aucune interaction de la part de la victime) ;
  2. Avoir accès aux contacts, photos, géolocalisation, etc. depuis une application sans permissions disponible sur le Google Play Store ;
  3. Rendre l’exécution du code persistant grâce aux accès obtenus en 1 et 2.

11 failles découvertes

Au total, en une semaine seulement, les équipes du Project Zero ont découvert onze failles de sécurité plus ou moins graves sur le Samsung Galaxy S6 edge. L’une d’elles permettait par exemple de décompresser une archive ZIP n’importe où, y compris dans les zones sensibles propres au système. D’autres encore profitaient d’un manque de sécurité dans le client mail pour exécuter du code JavaScript, ou encore transférer tous les messages à destination de la victime.

Ces problèmes de sécurité ont été découverts sur le Galaxy S6 edge alors qu’ils ne font pas partie du code AOSP (Android Open Source Project) de base, ce qui met l’accent sur le manque de sécurité que peuvent apporter les nombreuses fonctionnalités logicielles supplémentaires ajoutées par les équipementiers. Une plaie qui sera malheureusement toujours présente sur Android.

Un constructeur réactif

Google a bien évidemment averti Samsung avant toute chose des problèmes de sécurité présents sur son flagship. Très réactif, le constructeur a déjà corrigé 8 des 11 failles déclarées, ne laissant que les moins importantes pour le moment. Les trois dernières seront néanmoins fixées dès le déploiement du prochain patch de sécurité, prévu en novembre.

Il serait intéressant néanmoins de réaliser la même opération avec les différentes marques proposant des smartphones Android afin de voir si toutes se montreraient aussi réactives que Samsung…