La société de sécurité « Kryptowire » a découvert récemment que certaines applications préinstallées sont pleines de failles de sécurité. Dans la cadre d’une étude financée par le département américain de la sécurité intérieure, l’entreprise a conçu un outil permettant de rechercher des signes de défaillances de sécurité au niveau des applications de certains appareils android. Près de 29 fournisseurs incluant Sony, Asus et Samsung ont été soumis à l’analyse. Suite aux recherches, Krytopwire a déclaré avoir identifié plusieurs types de vulnérabilités dont des applications pouvant être forcé à installer d’autres applications malveillantes, des outils pouvant être intégrées à l’enregistrement audio ainsi que des failles permettant de modifier les paramètres de votre système. Selon eux, certaines vulnérabilités ne peuvent être déclenchées que par d’autres applications préinstallées. Tandis que d’autres peuvent être déclenchées par toutes les applications que l’utilisateur pourrait installer par la suite. Kryptowire a affirmé avoir observé un total de 146 vulnérabilités. La liste complète est actuellement disponible sur son site.

Google a déclaré avoir eu vent de ces failles de sécurité depuis plusieurs années. La société a lancé en 2018, un programme appelé Build Test Suite ou BTS que tous les partenaires OEM doivent s’y soumettre. BTS permet d’analyser le micrologiciel d’un appareil pour repérer les éventuels problèmes de sécurité caché au niveau des applications préinstallées. Les applications défectueuses sont ensuite classées en tant qu’application potentiellement nuisibles ou PHA d’après le rapport de sécurité Android de 2018. Selon eux, quand un PHA est identifié, ils travaillent d’abord avec le partenaire OEM pour corriger et supprimer le PHA de la construction avant qu’il ne soit déployé aux utilisateurs. Le rapport de sécurité Android de 2018 affirme que BTS a déjà permis de d’empêcher près de 242 constructions comportant des failles de sécurité d’entrer dans l’écosystème.

À lire aussi Comment sécuriser vos applications Cloud en entreprise ?