Pourquoi personne ne dit que les téléphones Android sont troués ?
C’est effarant de voir des articles sur Korben.info dénué d’esprit critique alors que le gars qui écrit le site est quand même informaticien !
Lorsqu’il reproduit et encense le discours de GeoHot sur le « rooting » de smartphone sans avoir besoin d’une connection au PC, c’est qu’il n’a pas compris que la plupart des applications « one click root » utilisent en fait une faille de sécurité connue dans l’OS du smartphone (et non corrigée par un update) pour faire un élévation de privilèges et accéder aux droits root. Il s’agit d’un piratage du smartphone en utilisant une faille de sécurité, exactement ce que fait un virus malveillant ou un attaquant sauf qu’à la fin l’appli donne les droits root à l’utilisateur. Et si cette application peut obtenir ces droits c’est que n’importe quelle application peut en faire autant car l’OS est troué !!! C’est ça qui est grave et qui devrait être dénoncé quand un « one click root » existe pour un smartphone !
A l’inverse les « rooting » utilisant un cable et un logiciel de flashage (Odin sous Windows, Heimdall sous Linux) vont remplacer l’étape du boot du téléphone pour pouvoir par la suite modifier l’OS afin de faire sauter la protection avant qu’elle ne soit active. C’est la même technique que vous employez quand vous installer un nouvel OS sur votre machine, et je trouve cela sain.
Que diriez-vous si GeoHot sortait une application « one click root » pour votre (remplacez par votre OS de desktop actuel) ? Crieriez vous comme korben « Bien joué Geohot ! » ?
Pour compléter l’article de Korben, voici la faille utilisée dans le noyau Linux (valide aussi sur les desktops non mis à jour) et le « one click root » pour votre desktop, yeah !
La question qui me taraude maintenant, c’est est ce que CyanogenMod a fixé cette faille dans son kernel? Je n’ai pas vraiment envie de faire face à ce genre d’appli.
Et si vous souhaitez un peu de lecture en plus sur la sécurité d’Android… Qui sait, peut être qu’en usurpant simplement le certificat SSL de Google, la NSA peut installer n’importe quelle appli sur votre smartphone sans que ca ne se voit?
