Canonical a publié récemment un bulletin de sécurité informant les utilisateurs que son système était victime d’une faille de sécurité. Une application l’exploitait, mais a été depuis supprimée et les utilisateurs ont été prévenus. L’éditeur indique qu’un correctif est en route.
Canonical informe les utilisateurs d’un souci de sécurité remonté récemment aux équipes. Une application baptisée « test.mmrow » avait un comportement spécifique : une fois lancée, elle exécutait un script (via une action de l’utilisateur) qui remplaçait l’écran de démarrage du téléphone et lui offrait par la suite un accès root, dont pouvait profiter un pirate.
Un correctif pour l'App Store, un autre pour les smartphones
L’examen a révélé qu’il existait une faille dans le système d’installation des applications. Elle est donc de type 0-day puisque déjà exploitée au moment de sa découverte. Elle est spécifique aux smartphones et ne se retrouve donc pas sur les ordinateurs clients, les serveurs, la version cloud ou la variante Core du système.
Le problème a rapidement été trouvé et durant la journée de jeudi dernier, les envois et réceptions depuis la boutique d’applications ont été suspendus pendant un court laps de temps afin que l’équipe de sécurité mette en place un correctif. Par ailleurs, toutes les applications présentes ont été analysées afin de vérifier que cette brèche n’était pas utilisée ailleurs. Ce qui n’empêche pas qu’un correctif est en cours de développement afin que les smartphones puissent court-circuiter localement ce type d’action dans le futur.
Pas de « kill switch » chez Canonical
L’application vérolée a évidemment été supprimée de la boutique. Elle n’a visiblement pas eu le temps de faire beaucoup de dégâts car le nombre de ses téléchargements se limite à 15, dont deux par des employés de Canonical qui enquêtaient sur le souci. Les utilisateurs ont été avertis directement par email et il leur a été demandé de supprimer directement l’application, l’App Store d’Ubuntu Phone ne possédant pas de « kill switch ».
On ne sait pas actuellement quand la mise à jour de sécurité sera disponible, mais Canonical a indiqué qu’elle communiquerait prochainement sur la suite des évènements.
Commentaires (41)
#1
15 téléchargements, ça doit bien faire 60% des Ubuntu Phone en circulation.
#2
#3
“Pas de kill switch” sur UbuntuPhone
" />
Combien de gens vont apprécier ?
#4
+1
J’ai même cru au début à un fake. 15 utilisateurs? Impossible!
#5
Mouaif … c’est pas avec la population qui se jette sur les Ubuntu Phone qu’on aura quelque chose de vraiment éprouvé.
Ce genre d’incident n’est jamais arrivé à Jolla à ma connaissance … et y’a un peu plus de 15 utilisateurs et ce ne sont pas des manches.
#6
#7
#8
Les blagues sur les 15 téléchargeurs sont marrantes mais bon, télécharger une appli appelée “test.mmrow”, il est heureux qu’il n’y en ai pas des milliers !
#9
Si sur une seule application, le Ubuntu store a généré 15 téléchargement, on peut raisonnablement penser que s’il compte une vingtaine d’applications aussi populaires, les chiffres seront meilleurs que le windows store.
#10
Ces trolls !
" />
Par contre je vais devoir renouveler mon stock de pop-corn à ce rythme !
#11
#12
On ne sait pas actuellement quand la mise à jour de sécurité sera
disponible, mais Canonical a indiqué qu’elle communiquerait
prochainement sur la suite des évènements.
La mise à jour est disponible depuis la semaine dernière (vendredi je crois).
#13
#14
“nous aussi on est un vrais OS mobile, regardez, on a des failles comme tout le monde!”
#15
J’aurais bien testé un ubuntu phone moi…
Si c’est aussi “bidouillable” qu’une distrib classique et que l’écosystème linux est fonctionnel, pourquoi pas.
#16
contrairement au autres smart phones, il y a kill et switch sous ubuntuphone, faut juste lancer le terminal
</troll>
#17
#18
Est-ce que vous savez si sur les autres OS mobile, le kill switch demande à l’utilisateur s’il accepte qu’on lui retire son application ?
#19
Ubuntu phone, tout comme firefox OS, Personnellement, je suis juste curieux de tester un peu, pour voir ce qu’ils ont fait, ce qu’ils proposent de nouveaux.
#20
Moi, j’ai un Ubuntu Phone depuis 4 mois, rien à dire, c’est loin d’être parfait mais ça fait le boulot… Parfois mieux que l’iphone de ma copine…
Et la mise à jour de ce matin (OTA7) est vraiment de bonne qualité. Après j’ai pas des besoins fou fou en terme d’application :p
#21
Eh beh… Ça ne vole pas haut les commentaires ici. Moi qui me suis dit “chouette un article sur l’Ubuntu Phone il y aura peut-être des retours par des gens qui en ont !”
Puis j’ai lu les commentaires et franchement j’en ai presque été déçu d’avoir payé mon abonnement à Next Intact. La qualité d’un article compte pour 50% du plaisir de la lecture, les commentaires les 50% restant. Et plus ça va et moins je trouve de commentaires pertinent… Merci à ceux qui ont fait un retour dessus ou abordé une partie technique du système !
Pour les autres je vous dirais bien bon vent mais bon…
#22
#23
Tu as quel téléphone dessus ? Les mises à jours OTA sont régulières ? Tu trouves que ça s’améliore au fil des versions ? À chaud tu mettrais quoi comme plus gros défaut et meilleur qualité par par rapport aux systèmes concurrents ?
J’ai vu quelques vidéos sur le MX4 et je dois avouer qu’il m’a bien surpris (en positif) et n’aimant pas Apple ni Google (Android je sature) et pas fan de Microsoft je me laisserait bien tenter lors de mon renouvellement de téléphone d’ici un an ou deux (voir plus tant qu’il fonctionne bien ^^). Mais si tu as un petit retour détaillé sur 4 mois d’utilisations je suis preneur =)
Edit : j’adore la bataille des chiffres… À croire qu’il faut avoir des millions ou milliards de telechargements pour avoir un système de qualité.
#24
et on est pas encore trolldi
" />
#25
#26
#27
Merci pour ton retour ! J’espère qu’ils amélioreront rapidement le point sur l’autonomie puis ensuite on verra bien pour la personnalisation et les applications (mais je t’avoue que je recherche d’abord un système respectueux de ma vie privée puis ensuite pas trop énergivore et pour le reste je suis près à faire des concessions tant que je peux accéder à mes mails ou naviguer sur internet :-) )
#28
Du coup j’ai été trop long pour mon Edit donc je double post, désolé :-)
Si j’ai bien compris pas de commercialisation avant 2016 ? Ça laisse un peu de temps pour optimiser ça et voir les contrats qu’ils auront avec les constructeurs ! Par contre si c’était possible d’avoir un modèle sans un écran de plus de 5” avec une définition qui n’a plus aucun sens et un processeur tellement performant qu’il est utilisé qu’au quart de ses possibilités et avoir une bonne batterie… D’ailleurs pour le Meizu tu te sens comment au niveau de l’espace de stockage ? (c’était son seul défaut à mes yeux, 16Go interne et pas de possibilité d’extension c’est ça ?)
#29
Malheureusement d’ailleurs… =(
#30
#31
#32
#33
#34
#35
Ok, c’est un point qu’ils pourront plus facilement résoudre je suppose :-)
Petite question supplémentaire sur l’autonomie, tu saurais combien de temps le téléphone tient en écran allumé ? (une estimation bien sûr puisque c’est dépendant de l’utilisation qu’on a du téléphone :-) )
P.S: le coup de la convergence est chouette aussi si ils y arrivent, ça développera le côté app store je suppose ^^
#36
#37
#38