The modern "smart" TV asks a lot of us. In exchange for connecting you to a few streaming services you use, a TV will collect data, show ads, and serve as another vector for bad actors. In a few reported cases, though, a modern connected TV has been blamed for attacks not on privacy, eyeballs, or passwords but on an entirely different computer.
The TV in question is a Hisense TV, and the computer is a Windows PC, specifically one belonging to Priscilla Snow, a musician and audio designer in Montreal, Quebec. Her post about her Hisense experience reads like a mystery novel. Of course, because you already know the crime and the culprit, it's more like a Columbo episode. Either way, it's thrilling in a very specific I-can't-believe-that-fixed-it kind of way.
Snow's Windows PC had "a few hiccups over the past couple of years," Snow wrote on April 19. She couldn't open display settings, for one. A MIDI keyboard interface stopped working. Task manager would start to hang until force-closed. Video-capture cards had trouble connecting. As Snow notes, any veteran of a Windows computer that has had lots of stuff installed on it can mentally write off most of these things, or at least stash them away until the next reinstall.
Après Stadia, Podcasts et One VPN, Google se prépare à faire le ménage dans Google Keep, son logiciel de prise de notes. L'application ne devrait pas être complètement supprimée, mais Google Tasks devrait récupérer une partie de ses fonctions.
Les nouveaux Motorola Edge 50 Ultra, Edge 50 Pro et Edge 50 Fusion offrent des caractéristiques haut de gamme à des tarifs inférieurs à ceux de la concurrence. Avec cette proposition plutôt généreuse, Motorola espère séduire de nouveaux clients, notamment celles et ceux qui prennent beaucoup de photos et de vidéos.
Epic Games has filed a proposed injunction that would stop Google from restricting third-party app distribution outside Google Play Store on Android devices after proving that Google had an illegal monopoly in markets for Android app distribution.
Epic is suggesting that competition on the Android mobile platform would be opened up if the court orders Google to allow third-party app stores to be distributed for six years in the Google Play Store and blocks Google from entering any agreements with device makers that would stop them from pre-loading third-party app stores. This would benefit both mobile developers and users, Epic argued in a wide-sweeping proposal that would greatly limit Google's control over the Android app ecosystem.
US District Court Judge James Donato will ultimately decide the terms of the injunction. Google has until May 3 to respond to Epic's filing.
[Deal du jour] Les Pixel 8 et 8 Pro de Google sont des smartphones premium, proposés à des prix élevés à leur lancement, surtout le modèle Pro. Avec cette double réduction, il devient bien plus intéressant.
Depuis le 11 avril 2024, Google propose aux propriétaires d'un smartphone Pixel d'installer Android 15 bêta, sa future grande mise à jour qui sera dévoilée le 14 mai. Pour l'instant, le nombre de nouveautés est très limité.
À chaque match de Ligue des champions, les réseaux sociaux s'interrogent sur les smartphones des footballeurs. La photo officielle de l'homme du match inclut toujours un drôle de smartphone, avec plein de caméras à l'arrière. Il s'agit en fait d'un partenariat.
L'application d'apprentissage Duolingo a reçu une grosse mise à jour, après avoir modifié l'apparence de son logo à l'effigie d'une chouette. Au menu : deux nouvelles disciplines.
Android 15 sera la prochaine mouture du système d'exploitation mobile de Google. A quelques mois de la version stable, nous sommes déjà en mesure de vous révéler les smartphones compatibles en se basant sur les politiques des constructeurs en matière de mises à jour logicielles.
L’article Android 15 : quels smartphones seront compatibles avec la mise à jour ? est apparu en premier sur Toms Guide.
android15
full
android15
thumbnail
[Deal du jour] Si vous comptiez changer de smartphone pour un modèle performant sans vous ruiner, le Pixel 7a est un tout trouvé. Il s’accompagne en ce moment d'une enceinte JBL dans un pack à un excellent prix.
Android 15 devrait proposer une nouvelle fonctionnalité nommée « espace privé ». Elle permettra à l'utilisateur de cacher des applications et des notifications sur son appareil.
L’article Android 15 : vous pourrez cacher des applications et notifications sensibles grâce à l’espace privé est apparu en premier sur Toms Guide.
Android 15 espace privé applications
full
Android 15 espace privé applications
thumbnail
Android 15 arrive avec son lot de fonctionnalités inédites, mais aussi avec des changements un petit peu plus discrets. Ainsi, le système d'exploitation fait évoluer la barre d'état et ajoute des retours haptiques lors de certaines actions.
L’article Android 15 apporte une nouvelle barre d’état et des vibrations inédites est apparu en premier sur Toms Guide.
Android 15 smartphone barre état
full
Android 15 smartphone barre état
thumbnail
Attention, propriétaires de smartphones sous Android : le malware Vultur, une menace sophistiquée, utilise le phishing par SMS pour s'emparer de vos données bancaires et personnelles. Découvrez comment ce cheval de Troie s'infiltre dans vos smartphones et comment vous protéger.
L’article Android : alerte, ce nouveau malware est capable de vider votre compte bancaire à distance est apparu en premier sur Toms Guide.
Android malware
full
Android malware
thumbnail
Lancé en 2018 en tant qu'application indépendante, Google Podcasts a longtemps été présenté comme le rival le plus crédible de l'application d'Apple, qui est réservée aux appareils de la marque. Google a finalement décidé de la remplacer par YouTube et commence à désactiver le service.
Dans la nuit du 30 au 31 mars, la France change d'heure. Il faudra ajouter 60 minutes à l'horloge pour ne pas arriver en retard. Votre smartphone devrait le faire tout seul, mais voilà comment s'en assurer.
La Developer Preview d'Android 15 révèle que les joueurs pourront profiter de leurs jeux avec un framerate débloqué. Malheureusement, tous les titres ne devraient pas être compatibles avec cette nouvelle fonctionnalité.
L’article Android 15 va rendre vos jeux extrêmement fluides, à une seule condition est apparu en premier sur Toms Guide.
Android 15 framerate fps jeu
full
Android 15 framerate fps jeu
thumbnail
[Deal du jour] Oubliez les plus de 1 000 € à la sortie du Samsung Galaxy Z Flip 4. Cdiscount propose une offre XXL pour ce smartphone pliant. Modèle premium, il est aujourd’hui affiché au prix d’un appareil milieu de gamme.
— Article en partenariat avec Incogni —
Salut la compagnie. Alors si vous avez l’habitude de me suivre, vous savez que j’ai déjà présenté l’outil Incogni de Surfshark d’un tas de façons différentes. Et mentionné les nombreux services qu’il peut rendre en fonction de votre situation. Mais s’il y a une cible que je n’ai pas abordée, c’est celui de nos marmottes marmots.
Parce que oui, lorsqu’on pense aux informations personnelles récupérées pour le plus grand bonheur des datas brokers (courtiers en données), on pense souvent aux nôtres, celles des « grands ». Et cela afin de créer des profils les plus complets possibles, notamment pour obtenir une image assez précise des sites que nous visitons, de nos achats en ligne, notre situation financière, nos centres d’intérêt, etc.
Sauf qu’il y a une catégorie d’utilisateurs que l’ont a tendance à oublier dans l’histoire, les enfants. Et oui, à notre époque pas mal de gamins passent déjà des heures en ligne (sur un smartphone ou à la maison) sans se préoccuper de savoir s’il y a un danger. Et les parents ne sont pas souvent capables de sécuriser leur environnement et leur apprendre les bons réflexes. Peu vont se renseigner sur les pratiques et les accès accordés aux applications installées (déjà que les parents eux-mêmes utilisent encore des passoires notoires comme Meta & Co …). Or les outils qu’utilisent les enfants, même s’ils semblent aussi peu dangereux que Oui-Oui, n’en sont pas mieux sécurisés pour autant. Ces bases de données centralisent et récupèrent leurs actions et peuvent ensuite tomber entre des mains malhonnêtes.
Le laboratoire de recherche d’Incogni a ainsi analysé 74 applications parmi les plus téléchargées et utilisées au monde par les plus jeunes. Sans surprise cela a permis d’épingler presque 50% de celles-ci (34) dont 2/3 (21) annoncent directement partager leurs données avec des tiers. Quasi 15% récoltent jusqu’à 7 types d’informations différentes : email, historique d’achat, localisation … voire photo. On comprend vite comment les choses peuvent mal tourner. En Europe c’est en moyenne 5 informations qui sont récupérées, la 2e région du monde la plus surveillée.
Bon après il s’agit la plupart du temps de récolter de la data pour raison marketing, ou pour diagnostiquer des problèmes techniques (bugs & co). Mais encore faut-il faire confiance aux développeurs de l’appli en question. Ainsi Pokémon Quest annonce être clean sur le Google Play Store alors qu’elle récupère des données et les partage. À peine 1 appli sur 7 permet de désactiver cette récolte de données, et 1 sur 3 ne permet pas de supprimer ses infos (pas très RGPD). Une bonne nouvelle s’il faut en trouver une ? 94% chiffrent les données. C’est déjà ça.
Pour différencier les bons des mauvais élèves, vous pouvez vous rendre sur ce lien (onglet « App Rankings » puis cherchez votre pays). En France les cartons rouges sont pour Toca Life World, Kahoot et Avatar World (7 à 12 infos collectées), par contre les jeux des studios YovoGames et BabyBus c’est safe. Ainsi que Pat Partouille à la Rescousse … ouf, je vais mes gosses vont pouvoir continuer à jouer.
Du coup, pour en revenir à Incogni, disposer d’un service qui va nettoyer les bases de données du web des informations liées à vos enfants pourra s’avérer une bonne pratique à mettre en oeuvre. Plus vous commencez tôt et moins les informations se retrouveront dans de multiples bases de données. Si l’adresse mail de votre enfant se retrouve chez un broker, la faire retirer au plus vite est un bon réflexe à avoir, avant qu’elle ne soit reprise à gauche et à droite. N’attendez pas d’intégrer la liste de dizaines de brokers comme je l’ai fait, ça m’apprendra à laisser mon email chez n’importe qui 😉
Encore faut-il se rendre compte que tel ou tel courtier a ces informations en main. C’est le travail d’Incogni, qui va scanner l’ensemble des brokers qu’il surveille afin d’y trouver les éléments que vous voulez faire supprimer. Il contactera alors en votre nom ces derniers et leur demandera des retraits, et répétera l’opération jusqu’à ce qu’ils lâchent l’affaire. Des heures et des heures de recherches économisées et vous aurez l’esprit tranquille en sachant qu’il va s’assurer que ces retraits soient définitifs. Vous pouvez même suivre l’avancée des travaux directement depuis une interface simple.
Mais n’oubliez pas que VOUS êtes le premier rempart de votre progéniture. Eduquez-les, expliquez-leur les conséquences potentielles de tout ce qu’ils font sur la toile, etc. Vous ne les laisseriez pas jouer n’importe où ni avec n’importe qui en extérieur, il n’y a pas de raison que ce soit différent en ligne. Et si vous vous y mettez un peu tard, appelez le soldat Incogni à la rescousse pour vous assurer que les dommages sont limités !
Vous pensiez que votre Bluetooth était safe ? Détrompez-vous ! Un chercheur en sécurité vient de dénicher une faille bien vicieuse qui permet d’exécuter du code à distance sur tout un tas d’appareils : smartphones Android, Chromecast, casques VR, TV connectées…
Le principe est diabolique : il suffit de se faire passer pour un clavier Bluetooth et hop, on peut envoyer des frappes de touches à la victime sans même qu’elle ait besoin d’accepter l’appairage. Pas besoin d’être à portée de main, quelques mètres suffisent. C’est ballot hein ?
Mais attendez, ça devient encore plus fort (ou pire, c’est selon). Des petits malins ont créé un outil baptisé BlueDucky qui automatise complètement l’exploitation de cette faille. Ça scanne les appareils vulnérables à proximité, ça les enregistre dans un fichier et ça balance un script Ducky bien sournois pour prendre le contrôle à distance. Le tout depuis un Raspberry Pi ou un smartphone Android !
Autant vous dire qu’ils se sont éclatés à tester ça sur tout ce qui passait : des smartphones, des objets connectés, des ordinateurs… Si c’est pas patché et que ça a du Bluetooth, ça tombe comme des mouches. Ils ont même réussi à ouvrir un navigateur et à envoyer la victime sur une page bien flippante, juste pour le fun.
Bon, vous allez me dire : « OK, mais comment on se protège de ce truc ?« . Eh bien c’est là que ça se gâte. Si vous avez un appareil récent, foncez installer les dernières mises à jour de sécurité. Mais pour les vieux machins sous Android 10 ou moins, c’est cuit, ça ne sera jamais patché. La seule solution : désactiver carrément le Bluetooth. Sinon, vous pouvez dire adieu à votre intimité numérique !
Mais ne cédons pas à la panique pour autant. Les chercheurs en sécurité font un boulot remarquable pour dénicher ces failles et alerter les fabricants. Maintenant, c’est à ces derniers de réagir en proposant des correctifs. Et à nous d’être vigilants en mettant à jour régulièrement nos appareils.
En attendant, si vous voulez jouer avec le feu dans la limite de ce que la loi permet, évidemment, le code de BlueDucky est disponible sur GitHub. Mais attention, c’est à vos risques et périls ! Ne venez pas vous plaindre si votre grille-pain se met à afficher des messages d’insulte au petit-déjeuner.
Pour l’installer :
# update apt
sudo apt-get update
sudo apt-get -y upgrade
# install dependencies from apt
sudo apt install -y bluez-tools bluez-hcidump libbluetooth-dev \
git gcc python3-pip python3-setuptools \
python3-pydbus
# install pybluez from source
git clone https://github.com/pybluez/pybluez.git
cd pybluez
sudo python3 setup.py install
# build bdaddr from the bluez source
cd ~/
git clone --depth=1 https://github.com/bluez/bluez.git
gcc -o bdaddr ~/bluez/tools/bdaddr.c ~/bluez/src/oui.c -I ~/bluez -lbluetooth
sudo cp bdaddr /usr/local/bin/
Et pour le lancer :
git clone https://github.com/pentestfunctions/BlueDucky.git
cd BlueDucky
sudo hciconfig hci0 up
python3 BlueDucky.py
Comme dirait l’autre, « le Bluetooth c’est comme le nucléaire, c’est génial tant que ça reste dans les mains des gentils« . Alors, soyez sympa et patchez-moi tout ça fissa ! Et si vous avez un appareil trop ancien qui traîne, coupez le Bluetooth et on n’en parle plus.
Pour en savoir plus sur cette faille et son exploitation, je vous invite à lire l’article ici.
Le 28 mars, Samsung va commencer à déployer One UI 6.1, la mise à jour de sa surcouche Android, sur quelques-uns de ses anciens appareils. Ils bénéficieront alors des mêmes fonctions IA que les Galaxy S24.
La sécurité sur Android et plus particulièrement la signature des applications c’est loin d’être tout beau tout rose. Vous le savez peut-être, notre bon vieux VLC, a quelques soucis pour mettre à jour son app Android sur le Play Store ces derniers temps.
Alors pourquoi ce blocage ? Eh bien tout simplement parce que Google a décidé de rendre obligatoire l’utilisation des App Bundles pour toutes les applications proposant des fonctionnalités TV. Jusque-là, pas de problème me direz-vous. Sauf que ce nouveau format nécessite de fournir sa clé de signature privée à Google. Et ça, c’est juste im-po-ssible pour l’équipe de VLC !
Fournir sa clé privée à un tiers, c’est comme donner les clés de son appartement à son voisin. C’est la base de la sécurité : ce qui est privé doit le rester. Sinon autant laisser sa porte grande ouverte avec un panneau « Servez-vous » ! 😅
Depuis les débuts d’Android, chaque app doit être installée via un fichier APK. Ce fichier contient tout le nécessaire : le code, les ressources, les données… Et pour vérifier qu’un APK est authentique, il doit être signé avec une clé privée générée par le développeur. N’importe qui peut alors vérifier la clé publique utilisée pour signer le fichier.
L’avantage de ce système est de garantir l’intégrité de l’app. Si le développeur perd sa clé privée ou son mot de passe, impossible de publier des mises à jour car la nouvelle signature ne correspondra pas. Et s’il file sa clé à quelqu’un d’autre, cette personne pourra signer ses propres versions qui seront considérées comme légitimes. Vous voyez le problème maintenant ?
Avec les App Bundles, on passe à un système de double signature où une clé de téléchargement (upload key) permet au Play Store de vérifier que celui qui envoie le fichier est légitime. Jusque-là, ça va. Mais où clé de signature (release key), doit être détenue par Google ! Autrement dit, le Play Store signe l’app à la place du développeur. C’est donc cette clé privée que Google réclame aujourd’hui à VLC.
Google a bien tenté de mettre en place des mesures pour atténuer le problème, comme le dual release qui permet sur les appareils récents (Android 11+) d’installer une mise à jour signée différemment si une preuve de rotation de clé est fournie. Mais pour les apps comme VLC qui supportent aussi les vieux appareils et la TV, ça ne fonctionne pas.
Du coup, l’équipe de VLC se retrouve face à un choix cornélien :
Bref, vous l’aurez compris, l’équipe de VLC est dans une impasse et c’est pour ça qu’aucune mise à jour n’a été publiée ces derniers mois sur le Play Store.
Et ce n’est pas qu’une question de principe. Le Play Store n’est pas le seul store sur Android. VLC est aussi disponible sur le site officiel, l’Amazon AppStore, le Huawei AppGallery… Donc donner sa clé à Google compromettrait toute la chaîne de publication.
Malheureusement, sans modification de la part de Google sur ces nouvelles exigences, il n’y a pas de solution miracle pour continuer à proposer le support TV sur les vieux appareils Android via le Play Store.
C’est rageant pour les développeurs qui se retrouvent pieds et poings liés, mais c’est aussi inquiétant pour nous utilisateurs. Quand le plus gros store d’apps au monde se met à réclamer les clés privées des développeurs, on peut légitimement se poser des questions sur sa conception de la sécurité et de la vie privée.
Espérons que Google entendra les critiques et fera machine arrière sur ce point. En attendant, la seule chose à faire est de soutenir les développeurs comme VLC qui résistent encore et toujours à l’envahisseur et continuent à privilégier la sécurité de leurs utilisateurs avant tout.
Si ça vous interesse, vous pouvez suivre toute l’affaire en détail sur cet article passionnant (si si, je vous jure) : VLC for Android updates on the Play Store
Crooks are working overtime to anonymize their illicit online activities using thousands of devices of unsuspecting users, as evidenced by two unrelated reports published Tuesday.
The first, from security firm Lumen, reports that roughly 40,000 home and office routers have been drafted into a criminal enterprise that anonymizes illicit Internet activities, with another 1,000 new devices being added each day. The malware responsible is a variant of TheMoon, a malicious code family dating back to at least 2014. In its earliest days, TheMoon almost exclusively infected Linksys E1000 series routers. Over the years it branched out to targeting the Asus WRTs, Vivotek Network Cameras, and multiple D-Link models.
In the years following its debut, TheMoon’s self-propagating behavior and growing ability to compromise a broad base of architectures enabled a growth curve that captured attention in security circles. More recently, the visibility of the Internet of Things botnet trailed off, leading many to assume it was inert. To the surprise of researchers in Lumen’s Black Lotus Lab, during a single 72-hour stretch earlier this month, TheMoon added 6,000 ASUS routers to its ranks, an indication that the botnet is as strong as it’s ever been.
Et si Android 15 rendait plusieurs de vos applications obsolètes ? Le couperet pourrait tomber pour plusieurs d'entre elles dans le cas où les développeurs ne les mettent pas à jour pour respecter les nouvelles restrictions de Google sur son futur OS.
L’article Android 15 : Google pourrait bloquer vos applications préférées, voici pourquoi est apparu en premier sur Toms Guide.
Android 15 applications obsolètes SDK
full
Android 15 applications obsolètes SDK
thumbnail