du 16 novembre 2017
Date

Choisir une autre édition

OnePlus : un autre outil pourrait poser des soucis de sécurité

Alors que le constructeur doit déjà émettre un correctif supprimant l’Engineer Mode de ses smartphones, il fait face à d’autres interrogations.

Pointé par le même chercheur en sécurité, OnePlusLogKit est un composant capable de récupérer des informations sur virtuellement tout ce qui se passe dans le téléphone, avant de stocker journaux et données sur la carte SD, sans chiffrement, y compris les photos et vidéos.

La légitimité de l’application n’est pas remise en cause, car il est évident qu’elle est utilisée à des fins de diagnostics et de collecte de données techniques. Mais pour le chercheur, elle brasse trop large et son accès est trop simple : il suffit de taper *#800# dans l’interface d’appel.

OnePlusLogKit n’est pas active par défaut, mais n’importe quelle application système serait capable de l’éveiller et d’appeler ses services. Une situation sur laquelle OnePlus n’a pas encore réagi.

Dans l’intervalle, le chercheur a publié les sources décompilées de l’outil dans son dépôt GitHub.

Notez que contrairement aux premières informations hier, l'Engineer Mode ne provient pas de Qualcomm. Le fondeur a précisé qu'en dépit de certains pans de code provenant bien de ses développeurs, le reste provient d'un autre auteur. Il n'a donc pas produit cet outil.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Via une mise à jour de son application iOS, le fabricant ajoute la prise en charge (attendue) du système domotique d'Apple. Pour rappel, cette caméra fait également office d'écoute bébé et de veilleuse multicolore avec des berceuses.

Le fabricant précise que de nouveaux appareils Arlo devraient prendre en charge HomeKit d'Apple à l'avenir, sans plus de détails. Pour rappel, Netgear a récemment annoncé se séparer de sa branche Arlo pour l'introduire en bourse (elle reste néanmoins une filiale et Netgear devrait conserver 80 % des parts).

Copié dans le presse-papier !

Nouvelle initiative de Google au sein de son programme publicitaire AdSense : Auto Ads. L'objectif est ici non plus d'automatiser le contenu ou la distribution des publicités, mais leur placement par rapport à l'espace disponible sur la page.

Un peu comme cela a été fait par Facebook dans les Instant Articles, l'idée est de laisser l'élément publicitaire s'adapter au contenu en fonction des opportunités et des formats acceptés par l'éditeur.  

Pour rendre l'ensemble plus « sexy », Google évoque la solution de machine learning utilisée pour ce dispositif, qui rendra les éditeurs un peu plus dépendants des solutions maison, tout en les incitant toujours à livrer les données de leurs visiteurs.

Copié dans le presse-papier !

Face à l'émergence du marché des objets connectés, tous les constructeurs y vont de leur solution maison, devant leur permettre d'être LE leader qui fournira ces milliards d'appareils.

Dans cette course, ARM annonce une nouvelle initiative peu avant l'ouverture du MWC 2018 de Barcelone : un SoC contenant un microcontrôleur (MCU), un modem et une integrated SIM (iSIM).

Cette dernière est basée sur Kigen OS et la solution de sécurité CryptoIsland d'ARM, le tout étant compatible avec les standards de la GSMA.

Copié dans le presse-papier !

Lors du CES de Las Vegas, Brian Krzanich avait rapidement évoqué le 10 nm, expliquant que le planning était toujours le même, avec une production de masse prévue pour le second semestre.

Aujourd'hui, on apprend par le ministre de l'économie israélien que le fondeur prévoit de se renforcer sur cette technologie avec la mise à jour de son usine de Kiryat Gat dans le sud du pays (elle est pour le moment limitée au 22 nm).

Intel devrait ainsi investir 5 milliards de dollars. Les travaux devraient durer jusqu'en 2020. Nos confrères de Reuters ajoutent que la société bénéficierait d'une subvention de l'État, de l'ordre de 10 %.

Copié dans le presse-papier !

À travers son initiative Project Zero, Google vient de dévoiler une nouvelle faille chez son concurrent. Après Edge la semaine dernière, c’est au tour de Windows 10, Microsoft n’ayant pas réagi dans le délai imparti de 90 jours.

La vulnérabilité est assez spécifique. Signalée à Microsoft le 10 novembre, elle réside dans la fonction d’appel à distance (RPC) SvcMoveFileInheritSecurity. Le problème peut survenir quand un fichier avec lien matériel est déplacé vers un nouveau dossier possédant des ACE (access control entries) héritables.

Les droits du fichier peuvent alors changer, récupérant ceux du nouveau dossier. S’il était en lecture seulement, il peut par exemple devenir modifiable, son descripteur de sécurité étant changé. Exploitée, cette brèche peut mener à une élévation de privilèges, prouvée par le chercheur dans un proof-of-concept disponible depuis la page de description.

Notez que cette faille, estampillée 1428, en accompagnait une autre, liée, la 1427. Cette dernière a bien été résorbée par Microsoft, mais l’éditeur tarde sur la seconde. À Redmond, on ne considère pas cette faille comme critique, mais elle reste de niveau élevé.

Tout comme la faille dans Edge, on peut espérer désormais un correctif pour le prochain Patch Tuesday, soit le 13 mars.