Le système d’exploitation mobile Android est victime d’une nouvelle faille de sécurité. Appelée Dirty Stream, celle-ci permet à un pirate d’avoir accès à des informations confidentielles mais aussi de prendre le contrôle de certaines applications.
Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.
Mais comment c’est possible ce bazar ?
Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.
En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.
Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.
Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !
Alors, que faire pour se protéger ?
Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :
Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit
Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !
Aujourd’hui, on va causer d’un sujet qui tient à cœur de tout le monde : la sécurité et la confidentialité de nos smartphones ! Ernestas Naprys, un journaliste de Cybernews, s’est amusé à comparer les systèmes Android et iOS pour voir lequel était le plus sûr et le résultat ne manque pas de piquant !
Avant de rentrer dans le vif du sujet, petit rappel quand même : nos téléphones ne font pas que nous tenir compagnie la nuit dans le lit… non, non.. ils en profitent aussi pour fureter à gauche et à droite, accédant à nos données et discutant avec des serveurs du monde entier, parfois même jusqu’en Russie !
Bref, notre Sherlock a installé le top 100 des applis iOS et Android sur des téléphones remis à zéro, les a lancé et laissé comater tranquillos pendant 5 jours.
L’objectif ? Tracer chaque petite connexion sortante pour voir à qui elle cause en douce.
Résultat des courses : L’iPhone se révèle être un sacré bavard, engrangeant 3308 requêtes par jour en moyenne, contre 2323 pour son rival Android. Mais attention, le diable se cache dans les détails ! Si iOS papote plus, il le fait principalement avec ses potes de chez Apple (60% du trafic quand même). Android, lui, est beaucoup plus partageur et distribue ses requêtes à tout va, surtout via des applis tierces.
Autre fait marquant, quand il s’agit de taper la discute avec des serveurs situés en Russie ou en Chine, Android est un vrai moulin à paroles ! Là où l’iPhone n’envoie qu’un petit coucou quotidien en terre de Poutine, le robot vert se fend d’un joyeux « Priviet ! » pas moins de 39 fois en 3 jours. Et côté Chine, c’est la même : Android ça y va tranquille tandis qu’iOS lui fait l’impasse complète et n’envoie rien vers l’Empire du Milieu.
Côté applis douteuses niveau confidentialité, là encore, c’est pas la même sauce ! Facebook ? 200 requêtes par jour sur Android, seulement 20 sur iOS. TikTok ? 800 check quotidiens pour le Android, 36 en tout sur 5 jours pour la pomme.
Alors, comment expliquer cet écart de comportement entre les deux systèmes ?
Notre expert avance 2 hypothèses :
Tout d’abord un App Store mieux tenu, avec moins d’applis potentiellement malveillantes ou intrusives, mais également une politique bien plus stricte d’Apple envers les développeurs qui voudraient mettre leur nez dans nos petites affaires.
Bon mais qu’est-ce qu’on fait nous du coup ?
Et bah comme d’hab’, le mieux c’est d’avoir le moins d’applis possibles, et de privilégier celles qui ont pignon sur rue. Évitez de synchroniser tous vos comptes et toutes vos données dans tous les sens, et pensez à faire un petit coup de ménage de temps en temps dans vos applis. Moins y a de bordel, mieux c’est.
Autre chose : privilégiez le bon vieux navigateur web plutôt que les mini-browsers intégrés dans les applis, qui sont de vraies passoires. Voici un petit tuto pour voir par vous-même à qui causent vos applis :
Rabbit R1, le joujou IA dont tout le monde parle depuis des mois, avait créé un sacré buzz à son annonce. On nous promettait une révolution, un assistant personnel intelligent toujours à portée de main pour répondre à nos questions, identifier des objets, jouer votre musique préférée ou commander un Uber. Bref, l’accessoire indispensable pour notre vie connectée qui remplacerait ce foutu smartphone.
Sauf que… en fait non.
Les premiers tests sont tombés et le verdict est sans appel, exactement comme je l’avais prédit sur Twitter y’a quelques semaines : le Rabbit R1 est un bide intersidéral. Sous ses airs de gadget futuriste, il s’agit en réalité d’un appareil fonctionnant sous une version modifiée d’Android, le tout dans une coque en plastique.
Et ses fonctionnalités révolutionnaires ?
Et bien c’est juste une application préinstallée…
Je déconne pas. Toute la magie s’envole d’un coup. Fini le rêve du compagnon IA révolutionnaire, on se retrouve juste avec une merde de plus en plastique qui recycle des technologies existantes et bridées. Mais le pire, c’est que cette fameuse app Android, il est possible de l’installer sur un smartphone Android. C’est ce qu’on réussi à faire les journalistes d’Android Authority sur un bon gros Pixel 6a. Et ça fonctionne plutôt bien même si l’affichage est tout petit vu que c’est prévu pour l’écran rikiki du R1. Mais on peut discuter avec l’assistant, lui poser des questions et obtenir des réponses exactement comme si on avait un Rabbit R1 dans les mains !
Alors bien sûr des trucs comme la prise de photos ou la reconnaissance d’images ne fonctionnent pas car il manque les autorisations système et l’intégration matérielle dont bénéficie l’app sur le vrai appareil mais y’a l’essentiel, à avoir l’IA conversationnelle !
Cela veut dire que ce gadget vendu 200 balles n’était en fait qu’une surcouche logicielle, un simple lanceur Android customisé. Pas besoin d’appareil dédié, un APK aurait suffit… et vendre à ce prix un produit qui tient en grande partie sur une app, c’est quand même gonflé surtout que l’autonomie est ridicule et qu’il faut un forfait data en plus !
La douille.
Bref, si vous attendiez le Rabbit R1 comme le messie, contentez-vous d’installer l’app ChatGPT, vous aurez une expérience similaire pour 0€.
[Deal du jour] Samsung propose une très grande gamme de smartphones, du premier prix au modèle premium. Le Galaxy A33 appartient à la première catégorie, ce qui ne l'empêche pas d'offrir de belles performances. Il est encore plus intéressant durant les French Days.
Avec The Phone, une startup française espère régler le problème de l'addiction aux écrans des jeunes enfants. Son initiative fait beaucoup parler ces derniers jours, notamment dans les médias français. Pourtant, aucune image du produit publiée par la marque n'est vraie. Contacté par Numerama, un des créateurs dévoile le véritable objet.
Vous faites un malaise, vous avez un accident, vous êtes inconscient ou désorienté. Il vaut mieux anticiper ces situations auxquelles on ne préfère pas penser, en configurant des contacts d’urgence sur son téléphone. Il existe une procédure sur l'iPhone et sur les appareils Android.
Android 15 devrait démocratiser une option auparavant réservée au mode développeur de l’OS : le forçage du mode sombre. Celui-ci permet d’activer ledit mode sur l’ensemble des applications même s'il n’est pas entièrement supporté.
Après le Kirin 9000s gravé en 7 nanomètres, place au Kirin 9010 toujours gravé en 7 nm. Huawei, qui avait réussi un exploit technologique, semble condamné à une marge de progression plus faible que la concurrence.
Les smartphones Android compatibles vont prochainement accueillir une amélioration de Gemini. L'IA de Google va avoir le droit à quelques changements afin de rendre son utilisation plus fluide pour les utilisateurs.
Après Stadia, Podcasts et One VPN, Google se prépare à faire le ménage dans Google Keep, son logiciel de prise de notes. L'application ne devrait pas être complètement supprimée, mais Google Tasks devrait récupérer une partie de ses fonctions.
A l'occasion de la sortie d'Android 15, Google pourrait exploiter une nouveau type de recharge sans fil pour les smartphones ne l'intégrant pas de série. En effet, l'entreprise américaine va exploiter le NFC pour recharger les batteries.
Les nouveaux Motorola Edge 50 Ultra, Edge 50 Pro et Edge 50 Fusion offrent des caractéristiques haut de gamme à des tarifs inférieurs à ceux de la concurrence. Avec cette proposition plutôt généreuse, Motorola espère séduire de nouveaux clients, notamment celles et ceux qui prennent beaucoup de photos et de vidéos.
[Deal du jour] Les Pixel 8 et 8 Pro de Google sont des smartphones premium, proposés à des prix élevés à leur lancement, surtout le modèle Pro. Avec cette double réduction, il devient bien plus intéressant.
Que valent les smartphones milieu de gamme ? Si certains téléphones pas chers ne valent vraiment pas le coup, certains modèles abordables présentent un rapport qualité prix intéressant. C'est le cas de ces cinq smartphones à moins de 300 euros qui, selon nous, valent vraiment le coup grâce à leur fiche technique modeste et efficace.
Depuis le 11 avril 2024, Google propose aux propriétaires d'un smartphone Pixel d'installer Android 15 bêta, sa future grande mise à jour qui sera dévoilée le 14 mai. Pour l'instant, le nombre de nouveautés est très limité.
La bêta d’Android 15 est enfin disponible pour certains utilisateurs. Pour le moment, celle-ci se concentre sur l'amélioration de l'interface et la sécurité de l’OS. Malheureusement elle est réservée aux possesseurs de smartphone Google Pixel uniquement.
À chaque match de Ligue des champions, les réseaux sociaux s'interrogent sur les smartphones des footballeurs. La photo officielle de l'homme du match inclut toujours un drôle de smartphone, avec plein de caméras à l'arrière. Il s'agit en fait d'un partenariat.
Google vient enfin de déployer son réseau Find My Device qui permet de retrouver un smartphone perdu. En revanche, celui-ci n’est compatible qu’avec les Pixel 8 et 8 Pro. Heureusement, il semblerait que la firme ne soit pas contre l’idée de l'étendre à d'autres appareils Android à l’avenir.