ZTE : deux terminaux vendus avec une faille de sécurité

Des chercheurs en sécurité ont mis à jour une faille de sécurité importante sur deux modèles d'androphones du constructeur chinois ZTE, le ZTE Score M et le ZTE Skate, ce dernier étant vendu en Europe, et notamment en France par Orange. Il n'a pas été démontré qu'elle existe également sur les autres terminaux de la marque, mais ce n'est pas une possibilité à exclure. Ce backdoor (littéralement "porte arrière" ou "porte dérobée") comme il est appelé dans le jargon, permet à quiconque d'obtenir les droits root sur le téléphone et ainsi d'obtenir le plus haut droit de privilèges, permettant de faire à peu près tout et n'importe quoi. Si en soit cela peut en réjouir certains, heureux de pouvoir libérer leur terminal, il est à noter que ce passage peut également être exploité par n'importe quelle application malveillante, ce qui n'est pas rare dans l'univers Android.

Ce qui rend cette faille si dangereuse est qu'elle utilise un mot de passe écrit en clair dans le code de l'appareil afin d'obtenir le droit root. De ce fait, n'importe qui ayant connaissance de ce password peut se voir gratifié de rang "d'admin" sur tous les ZTE Score M ou ZTE Skate. Ce genre de pratique est courante lors du développement d'un programme afin de faciliter l'accès à certaines fonctions, le code est ensuite supprimé avant la commercialisation. Il semblerait que cette fois-ci, les développeurs du constructeur chinois aient oublié cette étape cruciale.

Les adeptes du bidouillage pourront trouver plus d'informations au sujet de cette faille sur Reddit ou Pastebin.

Un constructeur réactif

Fort heureusement, cette information est déjà remontée aux oreilles de ZTE qui promet de déployer prochainement une mise à jour pour corriger ce problème. En attendant, il est conseillé aux utilisateurs de ces terminaux d'être d'une extrême vigilance quant aux autorisations données aux applications téléchargées.