Traditionnellement, le gros problème d’Android est une conséquence directe de son grand avantage : son extrême liberté. Le fait que chaque constructeur, voire chaque opérateur, puisse modifier le système à sa guise suppose une fragmentation lourde de conséquences, notamment au niveau de la mise à jour.
[Los Samsung Galaxy han sido vulnerables a código de ejecución: asegúrate de actualizar tu móvil]
Bien qu’Android se soit amélioré à cet égard ces dernières années, de nombreux téléphones qui utilisent le système sont abandonnés par leurs fabricants, simplement parce qu’il est difficile de prendre en charge un tel nombre de modèles différents. Google a mis en place certaines solutions, telles que la publication de mises à jour dans le cadre des services Google, en contournant les fabricants, mais il est évident que ce n’est pas la panacée lorsque des cas comme celui dont nous discutons aujourd’hui se produisent.
Trou de sécurité dans les téléphones Android
En juin dernier, Project Zero, l’équipe de spécialistes de la cybersécurité formée par Google, publiait une étude dans laquelle elle révélait l’existence de cinq vulnérabilités qui affectaient les mobiles Android, et qui pourraient être utilisées ensemble pour offrir un accès à la mémoire système et donc, à n’importe quoi. veut l’agresseur. Par exemple, il est possible contourner les autorisations Android et accéder à des données qui seraient normalement hors de portée d’une application.
Des processeurs comme Exynos de Samsung utilisent le GPU Mali
Plus précisément, le problème n’est pas dans le système Android lui-même, mais dans le pilote utilisé pour le GPU du Mali, qui est utilisé dans de nombreux processeurs montés dans les smartphones Android pour les graphismes 3D et les jeux. Les chercheurs ont testé le “bug” sur Pixel, Xiaomi, Samsung, Oppo et d’autres téléphones portables, et il a été possible d’en tirer parti sur chacun d’eux.
L’équipe de chercheurs a informé Arm, le créateur de la puce, et il a publié un correctif de sécurité qui corrigeait le “bug” et que les fabricants n’avaient qu’à appliquer à leurs systèmes ; Comme d’habitude avec Project Zero, l’équipe a attendu 30 jours supplémentaires pour publier les résultats de leurs investigations, afin que les fabricants puissent faire le travail nécessaire, et diffuser la mise à jour aux utilisateurs.
Des chercheurs critiquent l’industrie
Cela aurait pu mettre fin à la chose, mais loin de là, ce trou de sécurité est toujours ouvert. Cette semaine Project Zero a dû revenir sur ce problème qu’il croyait clos, car il a vérifié que tous les mobiles qu’il a testés à son époque sont encore vulnérables. En effet, aucun des principaux constructeurs du secteur n’a écouté Arm, et aucun n’a publié la mise à jour nécessaire ; bien qu’il soit plus probable que la mise à jour existe et n’ait pas encore pu être publiée sur tous les mobiles.
Les mobiles Pixel font partie de ceux qui sont touchés
Álvarez del Vayo
L’Android gratuit
les chercheurs les fabricants ont été critiqués concernés, indiquant que “de la même manière que les utilisateurs doivent mettre à jour dès que possible […] il en va de même pour les distributeurs et les entreprises », et qu’en fait, ils considèrent qu’il est plus important que ces dernières minimisent le délai de publication des correctifs.
Cela signifie également que Google se critique lui-même, puisque les Pixels n’ont pas non plus été mis à jour pour boucher le trou ; bien que dès le début, Project Zero soit né avec une garantie d’indépendance pour éviter les accusations de favoritisme qui affecteraient sa crédibilité.