Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Sécurité informatique

Introduction à la sécurité sur Android.

publicité 
Introduction à la sécurité
mobile sur Android
Android, AOSP, Surcouches, Custom Roms
AOSP (Android Open Source Project) est un système d’exploitation open-source
développé par Google. Lorsqu’on lui ajoute les Google Apps (Gmail, Calendar,
mais aussi les services de synchronisation de Google Cloud) on l’appelle Android.
Android est installé sur de nombreux appareils. Les constructeurs ajoutent des
applications supplémentaires, des modifications de design, de fonctionnement.
Ces modifs sont appelées la “surcouche constructeur”.
Des développeurs indépendants utilisent l’AOSP de base pour créer des versions
modifiées d’Android. Ces versions sont appelées “roms” custom.
Identifier les composants et les failles d’un téléphone
-
Le téléphone lui-même (Samsung, LG, HTC, Sony, Huawei, Xiaomi,...)
Le SOC ou processeur (Qualcomm, Intel, Samsung,...)
Android (Google)
La surcouche (le constructeur, un développeur tiers, un développeur
indépendant)
Les applications
Les intermédiaires
-
Les intrusions peuvent se faire à plusieurs niveaux:
-
Applications
Proxies
Surcouches (custom, constructeur, Google,...)
AOSP
Root
Comme sur les autres OS, Android utilise un système d’utilisateurs et de
super-utilisateur/administrateur. Sur Android, on l’appel “Root”. Le super-utilisateur
peut TOUT faire, puisqu’il a accès aux composants même d’Android. Tous les
appareils Android ont le compte Root désactivé par défaut, il est toutefois
généralement possible de l’activer.
De nombreux militants activent le root, soit pour s’approprier le système, soit pour
faire usage de fonctionnalités utiles (pirater des antennes wifi par exemple).
Rooter son smartphone est une MAUVAISE idée, si l’on souhaite que ce
smartphone soit sécurisé. Une application pourra faire usage de cet accès.
Intrusions via Android/Google
-
Impossible de savoir.
AOSP est open-source
Il n’y a pas forcément de backdoors. La sécurité est devenu un argument de
vente.
Failles logicielles: comblées mensuellement par Google, rarement par les
constructeurs.
Intrusions via les applications
Avec le temps, Google donne de plus en plus de possibilités (sms, gyro, micro,
caméra, etc…) aux développeurs. L’accès root est de moins en moins nécéssaire,
et un système de permissions a été mis en place. Ce système est à priori
sécurisé. Il y a donc trois cas de figures:
-
Une application espionne en faisant usage d’une permission qu’elle a
légitimement demandée.
Une application profite d’une faille informatique (dans Android ou dans une
surcouche) pour outrepasser ses droits. Mettre à jour Android
Une application profite d’un accès root pour outrepasser ses droits.
C’est une mauvaise idée d’installer une application tiers.
Proxies et VPN
Vos données peuvent être détournées via des serveurs externes.
Les VPN ou les firewalls et antivirus ont parfois recours à ces méthodes.
Ne leur faites pas confiance.
Un antivirus est INUTILE sur android. Son usage peut même être dangereux.
Si vous utilisez un VPN, vérifiez que vous pouvez lui faire confiance, et vérifier
surtout qu’il fonctionne (ex. RiseUp).
Intrusions via le constructeur
-
-
Des failles ou des “backdoors” peuvent être glissées dans une surcouche
constructeur/développeur. Parfois, il s’agit même de failles liées à un modèle
précis de processeur.
Plusieurs marques ont déjà été prises en flag en espionnant des utilisateurs
(Huawei pour le gouvernement chinois)
Choisir un téléphone
-
Préférer un téléphone sans surcouche (Google Nexus, Google Pixel, Lenovo
Moto)
Exemple d’un smartphone pas cher sans surcouche: Lenovo Moto E3 Power,
Lenovo Moto G4 Play, LG Nexus 5x
Avant d’acheter un telephone, voir si la communauté de développeurs a un
engouement pour lui, cela lui assurera des mises à jour à plus long terme.
Voir sur Forum XDA.
Documents connexes
DEVELOPPER DES APPLICATIONS MOBILES AVEC ANDROID
DEVELOPPER DES APPLICATIONS MOBILES AVEC ANDROID
Lead Développeur Android / Java   Homme ou Femme - Dispo Maintenant Recrutement 
Lead Développeur Android / Java   Homme ou Femme - Dispo Maintenant Recrutement 
Programmation Android : application médicale
Programmation Android : application médicale
Rodriguez Romain Technicien informatique Diplômes
Rodriguez Romain Technicien informatique Diplômes
Page officielle : www.kemet-tic.net
Page officielle : www.kemet-tic.net
Android + WComp, Un nouveau framework pour téléphone mobile
Android + WComp, Un nouveau framework pour téléphone mobile
Développeur IOS / Android FORMATION Johann Verbroucht
Développeur IOS / Android FORMATION Johann Verbroucht
Le cancer du sein vu des facteurs de risque environnementaux
Le cancer du sein vu des facteurs de risque environnementaux
Virus sur Android - Veille Virus et Antivirus
Virus sur Android - Veille Virus et Antivirus
FORMATIONS / INFORMATIQUE / Langage
FORMATIONS / INFORMATIQUE / Langage
Téléchargement
publicité