Introduction à la sécurité mobile sur Android Android, AOSP, Surcouches, Custom Roms AOSP (Android Open Source Project) est un système d’exploitation open-source développé par Google. Lorsqu’on lui ajoute les Google Apps (Gmail, Calendar, mais aussi les services de synchronisation de Google Cloud) on l’appelle Android. Android est installé sur de nombreux appareils. Les constructeurs ajoutent des applications supplémentaires, des modifications de design, de fonctionnement. Ces modifs sont appelées la “surcouche constructeur”. Des développeurs indépendants utilisent l’AOSP de base pour créer des versions modifiées d’Android. Ces versions sont appelées “roms” custom. Identifier les composants et les failles d’un téléphone - Le téléphone lui-même (Samsung, LG, HTC, Sony, Huawei, Xiaomi,...) Le SOC ou processeur (Qualcomm, Intel, Samsung,...) Android (Google) La surcouche (le constructeur, un développeur tiers, un développeur indépendant) Les applications Les intermédiaires - Les intrusions peuvent se faire à plusieurs niveaux: - Applications Proxies Surcouches (custom, constructeur, Google,...) AOSP Root Comme sur les autres OS, Android utilise un système d’utilisateurs et de super-utilisateur/administrateur. Sur Android, on l’appel “Root”. Le super-utilisateur peut TOUT faire, puisqu’il a accès aux composants même d’Android. Tous les appareils Android ont le compte Root désactivé par défaut, il est toutefois généralement possible de l’activer. De nombreux militants activent le root, soit pour s’approprier le système, soit pour faire usage de fonctionnalités utiles (pirater des antennes wifi par exemple). Rooter son smartphone est une MAUVAISE idée, si l’on souhaite que ce smartphone soit sécurisé. Une application pourra faire usage de cet accès. Intrusions via Android/Google - Impossible de savoir. AOSP est open-source Il n’y a pas forcément de backdoors. La sécurité est devenu un argument de vente. Failles logicielles: comblées mensuellement par Google, rarement par les constructeurs. Intrusions via les applications Avec le temps, Google donne de plus en plus de possibilités (sms, gyro, micro, caméra, etc…) aux développeurs. L’accès root est de moins en moins nécéssaire, et un système de permissions a été mis en place. Ce système est à priori sécurisé. Il y a donc trois cas de figures: - Une application espionne en faisant usage d’une permission qu’elle a légitimement demandée. Une application profite d’une faille informatique (dans Android ou dans une surcouche) pour outrepasser ses droits. Mettre à jour Android Une application profite d’un accès root pour outrepasser ses droits. C’est une mauvaise idée d’installer une application tiers. Proxies et VPN Vos données peuvent être détournées via des serveurs externes. Les VPN ou les firewalls et antivirus ont parfois recours à ces méthodes. Ne leur faites pas confiance. Un antivirus est INUTILE sur android. Son usage peut même être dangereux. Si vous utilisez un VPN, vérifiez que vous pouvez lui faire confiance, et vérifier surtout qu’il fonctionne (ex. RiseUp). Intrusions via le constructeur - - Des failles ou des “backdoors” peuvent être glissées dans une surcouche constructeur/développeur. Parfois, il s’agit même de failles liées à un modèle précis de processeur. Plusieurs marques ont déjà été prises en flag en espionnant des utilisateurs (Huawei pour le gouvernement chinois) Choisir un téléphone - Préférer un téléphone sans surcouche (Google Nexus, Google Pixel, Lenovo Moto) Exemple d’un smartphone pas cher sans surcouche: Lenovo Moto E3 Power, Lenovo Moto G4 Play, LG Nexus 5x Avant d’acheter un telephone, voir si la communauté de développeurs a un engouement pour lui, cela lui assurera des mises à jour à plus long terme. Voir sur Forum XDA.