Journal Faille de sécurité dans les noyaux Linux AllWinner

Posté par . Licence CC by-sa
Tags : aucun
22
11
mai
2016

Vu sur minimachines.net : backdoor dans le noyau Linux AllWinner (Message d'origine sur armbian.

De nombreux possesseurs de cartes de dev (orange pi banana pi), ainsi que les tablettes, smartphones et smart TV sont concernés par cette faille permettant semble-t-il à une application d'obtenir facilement les droits root. Plus de détails vous seront fournis en allant voir les liens indiqués ci-dessus.

Pour les possesseurs de cartes de dev, la correction pourra être appliquée dès qu'elle sera disponible. Par contre, en ce qui concerne les autres équipements, la mise à disposition du correctif dépendra du bon vouloir du fabricant.

Ce problème illustre bien le risque 'utiliser des produits "fermés", bien que basés sur des briques ou couches libres. Sans parler de la possibilité d'auditer le code source (qui n'est pas systématiquement fait), on touche ici à la problématique des mises à jour de sécurité qui se trouvent plus difficile à faire sur des systèmes non libres ou verrouillés par les constructeurs (soit le fabricant de l'équipement, soit le concepteur de la puce).

En outre se pose la question de savoir si cette faille a été laissée intentionnellement ou s'il s'agit d'une erreur involontaire : mais le comportement d'AllWinner sème le doute : plutôt que d'assumer et de jouer la transparence, ils ont supprimé semble-t-il les messages faisant référence à cette faille de leur github (références dans les articles liés).

  • # catastrophique

    Posté par . Évalué à 3.

    J'ai lu ça cette semaine sur https://olimex.wordpress.com/2016/05/10/how-to-root-any-allwinner-device-running-android-and-most-of-the-chinese-pi-clones-which-bet-on-allwinner-android-linux-kernel/
    Vu les parts de marché de allwinners c'est catastrophique. Le nombre de tablette bas de gamme ou cette failles existe doit être tout simplement hallucinant.
    Donc au passage TOUTES les cartes:
    -banana pi
    -orange pi
    -quid du pine64 ?
    À priori les cartes Olimex ne sont pas concernées, mais il est préférable de vérifier.

  • # Produit fermé?

    Posté par (page perso) . Évalué à 6. Dernière modification le 12/05/16 à 13:34.

    Ce problème illustre bien le risque 'utiliser des produits "fermés", bien que basés sur des briques ou couches libres. Sans parler de la possibilité d'auditer le code source (qui n'est pas systématiquement fait), on touche ici à la problématique des mises à jour de sécurité qui se trouvent plus difficile à faire sur des systèmes non libres ou verrouillés par les constructeurs (soit le fabricant de l'équipement, soit le concepteur de la puce).

    Pardon?
    Ce code est publique depuis plusieurs années.
    Le problème de mise à jours est certes de la faute du constructeur, mais pas pour des raisons que c'est du code fermé (ce qu'il n'est pas.). Le problème c'est que si le constructeur ne fait pas de mise à jours, Mme Michu ne pensera jamais à en faire.
    La très grande majorité des Allwinner ont un bootloader ouvert. Et grâce à cette faille, y en a même pas besoin.

    • [^] # Re: Produit fermé?

      Posté par . Évalué à 3. Dernière modification le 12/05/16 à 14:59.

      Le problème de mise à jours est certes de la faute du constructeur, mais pas pour des raisons que c'est du code fermé (ce qu'il n'est pas.).

      C'est bien pour ça que je parle de "produit fermé" et pas de code fermé : j'oppose ici un produit (tablette, ou carte de dev) fermé (android spécifique constructeur pour lequel on ne peut pas récupérer les sources ni faire les mises à jour) et ouvert (une version de debian qui serait patchée ou que l'on pourrait patcher plus facilement).

      Android est basé sur du libre, mais en pratique, quand on veut le reciompiler pour un matériel spécvifique, c'est quasi impossible, en raison de parties propriétaires intégrées dans le produit.

      Le problème c'est que si le constructeur ne fait pas de mise à jours

      Si le produit était réellement ouvert, il serait possible à n'importe qui de le faire : Mme Michu ne le ferait peut-être pas elle-même, mais elle pourrait porter son appareil à un réparateur quiu pourrait le faire.

      • [^] # Re: Produit fermé?

        Posté par (page perso) . Évalué à 4.

        Je crois que t'as mal compris mon message.

        Sur les tablettes dont il est question, il est parfaitement possible de mettre à jour le kernel.
        Ça ne va pas arriver, parce que Mme Michu ne prend les mises à jours que de son constructeur.
        Donc même si quelqu'un fait une mise à jour pour une tablette, moins de 0.1% des possesseurs de cette tablette auront cette mise à jour.

        Ce n'est pas un problème d'être fermé ou non. Si du jour au lendemain Debian meurt, les Mme Michu qui sont en Debian n'auront pas d'update jusqu'à ce que leur gentil neveu qui leur a mis Debian les passe à Devuan.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.