du 15 novembre 2017
Date

Choisir une autre édition

OnePlus supprimera son Engineer Mode, perçu comme une porte dérobée

Un chercheur en sécurité, Robert Baptiste, a fait part de sa découverte dans les smartphones OnePlus : un composant permettant un accès root à toutes les données du téléphone.

Nommé Engineer Mode, ce composant (présent sous forme d’un fichier APK) n’est normalement utilisé qu’au terme des chaînes de montage dans les usines, pour vérifier que tout va bien. Il est protégé par un mot de passe, mais les chercheurs l’ont rapidement découvert, d’autant qu’il n’est guère compliqué : angela.

OnePlus, de son côté, indique que l’Engineer Mode nécessite dans tous les cas un accès physique et qu’il ne peut en aucune être exploité à distance. Surtout, il dispose bien d’un accès root, mais seulement pour lui-même : il n’autorise pas des applications tierces à en bénéficier.

Le constructeur ne voit en outre pas dans ce composant un problème de sécurité majeur, puisqu’il réclame notamment l’activation de l’USB Debugging, inactif par défaut. Une prochaine mise à jour supprimera quand même le fichier APK des smartphones. Aucune raison donc a priori de considérer cet Engineer Mode comme une porte dérobée.

Notez également que le composant ne provient pas de OnePlus, mais de Qualcomm. Motherboard fait ainsi remarquer que d’autres constructeurs s’en servent, notamment Lenovo et Motorola. Nos confrères ont contacté Qualcomm mais n’ont pas encore eu de réaction du fondeur.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'association de start-ups et investisseurs a annoncé le partenariat dans un tweet. Elle est prévue pour son prochain « campus », un événement à destination des décideurs politiques.

En début d'année, France Digitale promettait des formations pour les parlementaires, qu'elle compte entre autres familiariser avec l'entrepreneuriat et le financement des start-ups.

Copié dans le presse-papier !

La société déclare que cette affaire remonte au 19 décembre 2017. Utilisant des identifiants valides, une personne non autorisée se connecte sur l'interface de son fournisseur de « Cloud Computing ». Elle crée un compte administrateur et en profite pour effectuer quelques opérations de reconnaissance dans l'environnement de travail.

À l'époque, aucune information personnelle des utilisateurs n'était présente, le pirate est donc reparti bredouille. En avril, un employé de TimeHop y transfère une base de données contenant des informations personnelles de clients et celle-ci est détectée par le pirate lorsqu'il revient en juin. Le 4 juillet, il dérobe les informations.

Le pirate est ainsi reparti avec les nom, prénom, date de naissance, genre, code pays, numéro de téléphone et email de près de 21 millions de clients de TimeHop. Aucune information bancaire, photo ou message n'est concerné affirme l'éditeur.

Plus embêtant, des jetons d'accès aux comptes des réseaux sociaux des utilisateurs étaient également présents (afin de récupérer vos images pour les utiliser dans TimeHop). Ils ont rapidement été révoqués, mais peuvent avoir théoriquement permis un accès au pirate pendant un court laps de temps. Aucune preuve n'indique que cela soit arrivé, assure la société.

Elle propose un tableau détaillé des fuites et du nombre de clients concernés à chaque fois. Une colonne est dédiée à ceux se trouvant dans une zone couverte par le RGPD.

Copié dans le presse-papier !

Cette problématique est montée en puissance ces dernières années, les plateformes étant en général celles qui proposent les solutions de diffusion et les statistiques associées.

Mais après de nombreux ratés, les annonceurs ont commencé à demander des comptes, pour s'assurer que les chiffres présentés étaient fiables. Depuis, les géants du web cherchent à montrer patte blanche.

C'est un pas de plus que franchit ici Google, avec son programme Measurement Partners, centralisant ses partenariats existants mais aussi quelques nouveaux, pour mettre en avant les outils certifiés pour ses services.

Copié dans le presse-papier !

Après les TS-932X (avec SoC AnnapurnaLabs) et TS-963X (SoC AMD G-Series), le fabricant continue de décliner son boîtier avec cinq emplacements de 3,5 pouces et quatre de 2,5 pouces.

Le TVS-951X exploite un Celeron 3865U de la génération Kaby Lake, avec 2 ou 8 Go de mémoire vive, extensibles jusqu'à 32 Go. Série « X » oblige, il dispose d'un port réseau 10 GbE en plus d'un Ethernet Gigabit. La connectique comprend aussi trois USB 3.0 et une sortie vidéo HDMI 1.4b. Tous les détails sont disponibles par ici.

QNAP annonce une disponibilité immédiate, sans donner de prix. LDLC le propose d'ores et déjà en précommande à partir de 838,95 euros, avec une disponibilité prévue pour mardi 17 juillet.

Copié dans le presse-papier !

Les pilotes Radeon Software Adrenalin Edition 18.7.1 viennent d'être publiés par la société. Ils n'apportent pas de fonctionnalité particulière, mais corrigent surtout quelques soucis dans différentes situations.

Des gains de performances de 20 à 30 % sont promis pour Earthfall dans différentes situations, alors que la dernière saison de Fortnite ne devrait plus être gâchée lorsque des étoiles seront visibles à l'écran.