Android est-il vraiment peu sécurisé? Nous avons interrogé les experts

Android est la plateforme mobile la plus utilisée sur la planète. Plus de 1,4 milliard de personnes utilisent un smartphone ou une tablette Android chaque jour, et le fait qu’il soit open source et gratuit pour les fabricants explique en grande partie cette popularité. Mais l’ouverture est une arme à double tranchant: elle a conduit à une situation dans laquelle de nombreux téléphones Android ne sont pas régulièrement mis à jour avec les derniers correctifs de sécurité.

Le spectre des logiciels malveillants plane Android ces dernières années, les chercheurs ont découvert des vulnérabilités très médiatisées, comme Trac. Les nouvelles négatives arrivent si nombreuses et si rapidement qu’il peut être difficile de les mettre en perspective. La semaine dernière, nous avons rendu compte Malware FalseGuide, qui aurait pu toucher jusqu'à 1,8 million de personnes Android utilisateurs.

Rien qu’en faisant la une des journaux, on vous pardonnerait d’avoir des doutes sur Android sécurité, mais où est la frontière entre l’hyperbole et le risque réel? La plateforme est-elle vraiment peu sécurisée ?

« Non, ce n’est pas dangereux. Je pense que nous avons un petit problème de perception, mais c'est très différent du risque réel pour les utilisateurs », Adrian Ludwig, directeur de Android La sécurité, a déclaré Digital Trends dans une récente interview. "Le travail cryptographique que nous avons effectué, le sandboxing que nous avons effectué et une grande partie du travail visant à rendre l'exploitation plus difficile s'assemblent bien."

Il ne fait aucun doute que les versions les plus récentes de Android sont plus sécurisés que leurs prédécesseurs, mais le problème est que de nombreux Android les utilisateurs n’en ressentent jamais les bénéfices. Retour sur 2016 dans un article de blog, le Android L'équipe de sécurité a admis qu'environ la moitié des appareils utilisés fin 2016 n'avaient pas reçu de mise à jour depuis au moins 12 mois.

"Versions mises à jour de Google Android peut être considéré comme sécurisé », a déclaré Maik Morgenstern, PDG de l’organisation de notation antivirus AV-Test, à Digital Trends. «Mais surtout chez de nombreuses personnes âgées Android versions, de plus en plus de vulnérabilités font surface et de nombreux fournisseurs ne fournissent pas de mises à jour pour leurs appareils. Actuellement, plus de 800 vulnérabilités sont connues.

Si nous regardons le chiffres de distribution officiels pour Android en avril, nous constatons que seulement 4,9 pour cent des Android les appareils exécutent les dernières versions, Nougat 7.0 ou 7.1. C’est une part décevante du total. En regardant plus loin, Android 6.0 Marshmallow fonctionne sur 31,2 % des appareils, Android 5.0 ou 5.1, Lollipop, est présent sur 31 % des appareils, et un cinquième des Android les appareils fonctionnent toujours Android 4.4 KitKat. La plupart de ces appareils exécutant d'anciennes versions de Android il est peu probable qu'ils soient jamais mis à jour.

" Quatre-vingt-quatre pour cent des téléphones ne sont pas mis à niveau, ce qui signifie que la plupart des appareils mobiles sont toujours en danger ", a déclaré Joshua J. Drake, vice-président de la recherche et de l'exploitation des plateformes chez Zimperium, a déclaré à Digital Trends.

Zimperium est une société de sécurité mobile; Canard découvert la vulnérabilité Stagefright en 2015. Il avait le potentiel de donner aux pirates le contrôle d'un Android appareil via un code malveillant dans un fichier audio ou vidéo – et jusqu’à 95 % des appareils y étaient vulnérables, selon les rapports de l’époque. Drake nous a dit que certains appareils sont encore vulnérables aujourd'hui.

Même si les dégâts potentiels étaient effrayants, on ne sait pas exactement quel sera leur impact sur Android les utilisateurs l'étaient.

"Cela fait presque deux ans que nous en avons pris connaissance pour la première fois, et nous ne savons toujours pas si quelqu'un est réellement concerné", a déclaré Ludwig.

Mais Drake n’est pas d’accord.

"Nous savons qu'il y a eu des attaques ciblées utilisant des vulnérabilités dans libstagefright et mediaserver", a-t-il déclaré. "Nous savons qu'il est difficile de prouver un résultat négatif en général, et nous respectons les efforts de Google pour mieux sécuriser sa plateforme, mais sans capteur sur l'appareil, personne n'a aucun moyen de connaître l'état de risque ou de menace d'un appareil, en particulier un mobile.

Le problème est qu’il n’est pas facile de savoir si vous avez été attaqué avec succès. À la suite de la découverte de Stagefright, la société de sécurité a fondé Alliance des combinés Zimperium pour stimuler la communication entre les chercheurs, les opérateurs de réseaux mobiles, les développeurs d'applications mobiles et les fournisseurs d'appareils.

"Les chercheurs doivent être encouragés à examiner les mises à jour de sécurité mensuelles et à essayer d'exploiter ces vulnérabilités, afin de promouvoir de meilleurs correctifs et un monde mobile globalement plus sûr", a déclaré Drake.

Google a pris des mesures importantes pour réduire les risques de sécurité, en publiant des correctifs mensuels et en décomposant des éléments de Android pour faciliter la diffusion des mises à jour. Mais les anciennes versions de Android ont été laissés pour compte.

Le Problème de fragmentation Android n’est pas facile à résoudre. Convaincre les transporteurs et les fabricants de mettre à jour leurs Android appareils s'est avéré très difficile pour Google. Cela a fait directement le jeu de l’opposition. Tim Cook d'Apple a fait référence à un Article ZDNet intitulé "Android fragmentation transformant les appareils en un enfer toxique de vulnérabilités » sur une diapositive à la WWDC en 2014. Mais iOS est-il vraiment bien meilleur? Et si oui, pourquoi ?

« On a l’impression que la sécurité d’iOS est supérieure à Android sécurité, mais ce n’est pas nécessairement le cas », a déclaré Drake.

Parce que Android est open source, il est plus facile pour les chercheurs en sécurité de trouver des failles et de suggérer des correctifs. La nature fermée d’iOS rend plus difficile pour les chercheurs de voir ce qui se passe, a-t-il déclaré. Morgenstern est d'accord avec cette évaluation, mais souligne une différence importante qui fait que les logiciels malveillants représentent un plus grand risque pour les utilisateurs. Android.

"Pour Android Pour les utilisateurs, il est facile d’installer des applications à partir de n’importe quelle source », explique Morgenstern. « Ce fait facilite l’installation d’applications malveillantes sur l’appareil. La manière dont les autres plateformes gèrent cela est beaucoup plus stricte, en autorisant uniquement les installations à partir de leurs marchés fermés.

Android est une cible importante. Avec une base d’utilisateurs aussi large et un code open source, c’est une proie attrayante pour les cybercriminels. AV-Test enregistre jusqu'à 30 000 nouveaux Android des échantillons de logiciels malveillants chaque jour. C'est un chiffre effrayant, mais préoccupant Android les utilisateurs peuvent agir pour réduire considérablement les risques en s'en tenant à Google Play pour les applications, en mettant à jour les appareils dès que les correctifs sont disponibles et en utilisant applications de sécurité Android tierces.

Drake et Morgenstern mettent également en garde contre la connexion à des réseaux inconnus et à des points d'accès Wi-Fi, du moins sans utiliser des réseaux décents. Applications VPN Android.

« Nos données montrent que la plupart des attaques sont de nature réseau et qu’elles ne font aucune distinction entre iOS, Android, ou autre », explique Drake. « Une fois qu'un attaquant a silencieusement intercepté et redirigé votre trafic réseau, tout appareil est dangereusement vulnérable aux attaques. surveillance invasive, pêche au harpon personnalisée, livraison d’exploits de plate-forme ou tout un certain nombre d’autres attaques ultérieures.

Android la sécurité s'améliore. Nous pouvons souligner des mises à jour plus rapides, le cryptage des appareils, les demandes d'autorisation, le sandboxing des applications pour isoler applications les unes des autres, accès restreint aux ressources et analyse automatique des logiciels malveillants dans Play Magasin. Mais il reste évidemment encore du travail à faire.

"L'année dernière, nous avons versé près d'un million de dollars aux chercheurs", a déclaré Ludwig de Google, interrogé sur l'importance de la recherche par des tiers. Mais malgré ce programme de recherche, Drake estime qu’il faut faire davantage.

"Améliorer Android En matière de sécurité globale, il est impératif que Google travaille plus étroitement avec les fournisseurs de sécurité », a-t-il déclaré. « Apple et d'autres fournisseurs ont accru leur coopération, mais Google l'a diminuée. La philosophie de Google est qu’ils peuvent tout faire eux-mêmes, mais cela ne fait que nuire à leurs utilisateurs et profite malheureusement aux auteurs de logiciels malveillants.

En fin de compte, la question de Android la sécurité peut dépendre de l’appareil que vous utilisez. Si vous possédez un téléphone vieux de deux ou trois ans qui exécute une ancienne version de Android et n'a pas été mis à jour depuis des mois, vous avez des raisons de vous inquiéter. En revanche, les propriétaires de Pixel de Google reçoivent les dernières mises à jour de sécurité en temps opportun. au moins pour les deux prochaines années.

Il est difficile de dire combien de temps il faudra avant que la plupart Android les appareils exécutent Nougat ou une version ultérieure de Android, mais même dans ce cas, la lenteur des mises à jour de certains fabricants et opérateurs restera un problème.

"Tant que chaque mise à jour n'atteint pas tous les appareils, nous courons toujours des risques", a déclaré Morgenstern.

Vous pouvez trouver des conseils plus utiles sur la façon de rester en sécurité sur votre Android téléphone dans notre Guide de sécurité Android.

Recommandations des rédacteurs

• Les radiations des téléphones portables sont-elles réellement dangereuses? Nous avons demandé à quelques experts