Il y aurait tellement de failles iOS que leur valeur aurait baissé, Réactions à la publication du 04/09/2019

[Lionel]

Il n'y a pas si longtemps, on disait qu'une faille 0-day d'iOS valait une fortune, surtout si elle permettait la prise de contrôle sans manipulation de l'appareil.
Zerodium, un décrié commerçant de failles de sécurité, a revu ses grilles tarifaires. Dorénavant les failles Android ont plus de valeur et celles d'iOS ont vu leur récompense revue à la baisse.
Une faille à distance et en 2 clics, la plus intéressante, a vu son prix passer de 1,5 à 1 million de dollars.
Cela est lié à une arrivée massive de failles iOS, elle même liée au fait que des centaines de développeurs se sont lancés à plein temps dans leur recherche. Il y en a tellement que certaines sont même refusées par Zerodium.

En revanche, Android a tellement de versions qu'une faille universelle est pratiquement impossible à trouver et qu'elle devient le graal dans ce domaine.

Voilà l'état actuel des choses. Apple a devant elle un travail colossal pour sécuriser son système et en attendant il faut se faire à l'idée que nos iPhone ne sont pas des bunkers inaccessibles. C'est une mauvaise nouvelle au moment où Apple Pay gagne en popularité et où les appareils iOS sont devenus des supports monétiques.

Lien vers le billet original

[Fafnir]

- Le supermarché le plus proche ne propose plus ses promotions que par le truchement d'un ordiphone.
- La plus grosse banque offre un gizmo (iPad) quand un lambda vient dans ses filets (devient client).
Alors l'OS peut avoir quelque rides traitable au botox de la prochaine version il n'y a pas d'alternative mais seulement espérer que nous serons avalé par une société qui a la meilleure éthique comme Apple.

[chombier]

une société qui a la meilleure éthique comme Apple.

Éthique en toc. Le fric, c'est chic.

Il n'y a pas d'alternative ? Sérieux ?

[iAPX]

une société qui a la meilleure éthique comme Apple.

Éthique en toc. Le fric, c'est chic.

Il n'y a pas d'alternative ? Sérieux ?

La seule alternative ça peut être un fork d'Android, je crois que @Sartmatt peut en parler, mais un des problème est qu'à cause de la politique closed-source de Google, qui n'expose pas les sources de son OS pendant les développements mais uniquement à la fin (et encore bien en retard) pour en garder un contrôle total et une belle opacité, les mises-à-jours se font un semestre plus tard.

Ça n'empêche pas d'ailleurs d'avoir des failles de sécurité dans les composants closed-source de Qualcomm et d'autres.
Le "firmware" du "Modem" (un ordinateur opérationnel en fait) est plutôt mou que ferme, comprendre software, et c'est un point d'entrée fabuleux avec attaques OTA!

Donc, non, coté smartphone il n'y a pas d'option relativement sécurisée, maintenue dans un laps de temps acceptable, sur la durée (pour ne pas devoir jeter un smartphone parfaitement fonctionnel faute de MàJ).

Coté ordinateurs portables ou de bureau, il y a Linux (et des BSD mais là faut aimer les sports extrême au quotidien), et possiblement Windows pour son support sur la durée même son historique est loin d'être parfait, puis bien sûr macOS si on aime jeter un ordinateur parfaitement fonctionnel quand Apple le déclare "obsolète".

Ce message a été modifié par iAPX - 4 Sep 2019, 23:51.

[scoch]

La seule alternative ça peut être un fork d'Android, je crois que @Sartmatt peut en parler, mais un des problème est qu'à cause de la politique closed-source de Google, qui n'expose pas les sources de son OS pendant les développements mais uniquement à la fin (et encore bien en retard) pour en garder un contrôle total et une belle opacité, les mises-à-jours se font un semestre plus tard.

Quel retard pour publier les sources d’Android AOSP ? Android 10 a commencé à être distribué par OTA sur les Google Pixel le 3 septembre, et le code source AOSP a été publié le même jour (le build date du 14 août). Le Redmi K20 Pro (Xiaomi) chinois a déjà reçu sa mise à jour. Xiaomi a publié la liste des appareils qui recevront la mise à jour au Q4 2019. Autrefois les bêta d’Android n’étaient disponibles que pour les appareils de Google (Nexus, puis Pixel) mais pour Android 10, les bêtas étaient disponibles pour 23 appareils (dont 8 de Google).

Ce message a été modifié par scoch - 5 Sep 2019, 07:55.

[iAPX]

La seule alternative ça peut être un fork d'Android, je crois que @Sartmatt peut en parler, mais un des problème est qu'à cause de la politique closed-source de Google, qui n'expose pas les sources de son OS pendant les développements mais uniquement à la fin (et encore bien en retard) pour en garder un contrôle total et une belle opacité, les mises-à-jours se font un semestre plus tard.

Quel retard pour publier les sources d’Android AOSP ? Android 10 a commencé à être distribué par OTA sur les Google Pixel le 3 septembre, et le code source AOSP a été publié le même jour (le build date du 14 août). Le Redmi K20 Pro (Xiaomi) chinois a déjà reçu sa mise à jour. Xiaomi a publié la liste des appareils qui recevront la mise à jour au Q4 2019. Autrefois les bêta d’Android n’étaient disponibles que pour les appareils de Google (Nexus, puis Pixel) mais pour Android 10, les bêtas étaient disponibles pour 23 appareils (dont 8 de Google).

Si les MàJ sont prêtes chez Xiaomi ou d'autres c'est que le développement est figé depuis longtemps, mais les sources restent non-accessibles tant que Google n'a pas décidé de les sortir ce qui amène un délai variable suivant les moments.
Le développement opaque ne permet pas non plus aux Forks de suivre, c'est même la principale cause.

Et c'est très dommage, car si on sort les fabricants de smartphone et Google de l'équation, alors Android serait mon premier choix maintenant.