Le Blog Utux

HTTP 200 GET /

Android et ARM, c'est de la merde

Rédigé par uTux 6 commentaires

Une importante porte dérobée dans 55 modèles de terminaux Android (NextINpact).

Dans le monde fantastique d'Android et ARM il y a des constructeurs qui veulent absolument avoir la main sur le firmware et l'OS en refusant de partager le code source ou simplement en interdisant l'accès root. Donc vous n'avez pas le choix : la sécurité, la solidité et les mises à jour sont soumises à leur bon vouloir. Sauf que le paradoxe c'est qu'ils n'ont pas l'envie ou les compétences pour s'en occuper, et c'est ainsi qu'on se retrouve avec des failles inacceptables telles que ce rootkit visiblement oublié par un sous-traitant qui exécute n'importe quelle commande root sans trop se poser de questions :

Le firmware concocté par la société Ragentek dispose d’un rootkit. Autrement dit, d’un composant se chargeant au démarrage du système, possédant des droits root, pouvant exécuter n’importe quelle action et cherchant à masquer sa présence (il ne répond pas aux commandes classiques, comme PS).

C'est très grave, et ça l'est encore plus quand on sait que ces problèmes sont fréquents et que là encore il faudra attendre une mise à jour fournie par le constructeur. Mais sur les 55 modèles impactés, combien auront droit à un correctif ? Probablement très peu, un classique dans le monde des smartphones. Et Google n'y peut rien car bien qu'il soit le créateur et mainteneur d'Android, il n'est pas possible aujourd'hui de déployer des mises à jour sur l'intégralité des appareils, le matériel étant beaucoup trop différent et non standardisé.

Même sans parler de logiciel libre ou même d'opensource il est urgent que les plateformes ARM se normalisent et implémentent un BIOS ou un UEFI comme sur le x86, ce qui permettrait de se libérer des constructeurs et avoir plus de souplesse sur le système d'exploitation. Il a été démontré de nombreuses fois qu'on ne peut pas leur faire confiance car ils voient leurs produits comme des gadgets électroniques et non comme des ordinateurs pour lesquels la sécurité doit être prise au sérieux.

EDIT : Et hop, encore une faille qui ne sera jamais corrigée !

6 commentaires

#1  - Stman a dit :

Et encore, t'es loin du compte. Si tu prends en consideration le fait que les circuits intégrés eux-mêmes, dont le processeur ARM, et tousses peripheriques sont des boites, strictement equivalent a du code fermé et proprietaire, dont l'architecture pourrie, imposée par la force et figée (non modifiable), entraine de nombreuses failles de securité, alors tu comprends l'ampleur du probleme : Ils nous empechent de reprendre le controle, de nous proteger. Ils veulent des systemes pourris qu'ils peuvent infecter ou dans lesquels ils peuvent cacher leur backdoors de cyber-domination planetaire.

Répondre
#2  - youpi a dit :

Je comprend ta réaction mais je pense que tu es loin loin du compte. Ce n'est pas arm le souci c'est même une solution aux architectures classiques.
Je t'invite a lire ce genre de dépéches :
- https://linuxfr.org/news/conception-de-materiel-libre-ou-en-sommes-nous
- https://linuxfr.org/news/le-logiciel-libre-au-dela-de-x86

Le souci est bien plus grave que ce que l'on veux le penser et le logiciel libre ne résout rien dans ce cas.

et plus globalement à parcourir https://linuxfr.org/sections/mat%C3%A9riel

Répondre
#3  - Nikk a dit :

Il y a toujours un loader meme sur plateforme ARM. Celui d'Android s'appel Fastboot. Apres c'est libre au fabriquant de mettre autant de bootloader qu'ils veulent (uboot, ...)

Répondre
#4  - steph a dit :

La backdoor n'est ni dans Android ni dans ARM. Mais dans le firmware (=BIOS du PC).
Titre sensationnaliste ou manque de recul ?

Répondre
#5  - uTux a dit :

Les bios n'ont pas de backdoor capable d'écouter sur le réseau, et de manière générale ils sont beaucoup plus fiables et mieux maintenus.

Répondre
#6  - Gaudon a dit :

Et si le backdoor était directement dans le processeur ?

http://www.comptoir-hardware.com/actus/processeurs/31794-les-cpu-x86-dintel-ont-un-joli-backdoor-et-personne-ny-peut-rien.html

Répondre

Écrire un commentaire

Quelle est le cinquième caractère du mot nuwl1gz ?