Firefox OS et les failles WiFi et Spectre/Meltdown

En résumé : tout le monde s’en fout. Les appareils Firefox OS sont certainement concernés, mais ne seront probablement jamais patchés.

Pour ceux qui auraient hiberné, les infos sur la faille WiFi :

https://www.krackattacks.com/

Les appareils sous Firefox OS sont très probablement concernés par la faille WiFi puisqu’ils utilisent la même base AOSP que les téléphones Android.

J’ai contacté Mozilla via IRC le 18/10/2017 : ils me disent que ce n’est pas de leur ressort, et me demandent de contacter ZTE (puisque cela concernait un appareil de cette marque).
Contact de ZTE le même jour via http://www.ztefrance.com/assistance/. Réponse le 23/10 :

Nous avons actuellement sollicité le service recherche et développement pour solutionner votre problème,

Nous reviendrons vers vous dès leur retour.

Relance le 22/11/2017, puis le 20/12/2017. Nous sommes fin mai 2018, et je n’ai jamais eu de réponse.

J’ai ajouté les informations que j’avais sur https://github.com/kristate/krackinfo , mais personne d’autre n’y a touché (je ne suis pas surpris). On y constate que ZTE n’a donné aucune réponse sur ces failles, même pour ses appareils sous Android.

 

Pour les failles CPU (Spectre/Meltdown), j’ai recontacté ZTE le 10/01/2018 via le même formulaire de contact. Je n’ai jamais eu de réponse non plus.

Les récents problèmes commerciaux de ZTE avec les Etats-Unis ne risquent pas d’améliorer leur service client…

Au final, pour conserver ces appareils sans être exposé à ces failles, je ne vois pas d’autre solution que d’installer un OS alternatif. Je teste actuellement LineageOS (voir les articles de https://hackurx.wordpress.com), qui contient au moins les patchs pour le WiFi. Je ferai probablement un article là-dessus quand ce sera vraiment utilisable (ce n’est pas loin d’être le cas, même si c’est assez lent et que les faibles ressources de l’appareil posent des contraintes).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *