Les chercheurs en sécurité ont découvert que plusieurs OEM Android mentent ou dénaturent les correctifs de sécurité installés sur leur appareil. Parfois, ils mettent même à jour la chaîne du correctif de sécurité sans rien corriger !
Comme si la situation des mises à jour de sécurité d'Android ne pouvait pas empirer, il semble que certains fabricants d'appareils Android aient été surpris en train de mentir sur le niveau de sécurité réel de leurs téléphones. En d’autres termes, certains fabricants d’appareils prétendent que leurs téléphones répondent à un certain niveau de correctif de sécurité alors qu’en réalité, leur logiciel ne dispose pas des correctifs de sécurité requis.
C'est selon Filaire qui rendait compte de recherches qui devraient être publié demain à la conférence sur la sécurité Hack in the Box. Les chercheurs Karsten Nohl et Jakob Lell de Security Research Labs ont passé les deux dernières années à faire de la rétro-ingénierie. des centaines d'appareils Android afin de vérifier si les appareils sont réellement sécurisés contre les menaces qu'ils prétendent être sécurisées contre. Les résultats sont surprenants: les chercheurs ont découvert un « écart de correctifs » important entre les téléphones de nombreux téléphones. indiquer le niveau du correctif de sécurité et les vulnérabilités sur lesquelles ces téléphones sont réellement protégés contre. L'écart de correctif varie selon l'appareil et le fabricant, mais étant donné les exigences de Google répertoriées dans les bulletins de sécurité mensuels, il ne devrait pas exister du tout.
Le Google Pixel 2XL courir sur le premier Aperçu du développeur Android P avec Correctifs de sécurité de mars 2018.
Selon les chercheurs, certains fabricants d'appareils Android sont même allés jusqu'à dénaturer intentionnellement le niveau de correctif de sécurité de l'appareil simplement en changer la date affichée dans les paramètres sans installer de correctifs. C'est incroyablement simple à simuler: même vous ou moi pourrions le faire sur un appareil rooté en modifiant ro.build.version.security_patch dans build.prop.
Sur les 1 200 téléphones provenant de plus d'une douzaine de fabricants d'appareils testés par les chercheurs, l'équipe a découvert que même les appareils des fabricants d'appareils de premier plan présentaient des « lacunes de correctifs » bien que les petits fabricants d’appareils aient tendance à avoir des antécédents encore pires dans ce domaine. Les téléphones de Google semblent sûrs, cependant, car les séries Pixel et Pixel 2 n'ont pas dénaturé les correctifs de sécurité dont elles disposaient.
Dans certains cas, les chercheurs ont attribué cela à une erreur humaine: Nohl estime que parfois des entreprises comme Sony ou Samsung ont accidentellement manqué un ou deux correctifs. Dans d’autres cas, il n’y avait aucune explication raisonnable pour laquelle certains téléphones prétendaient corriger certaines vulnérabilités alors qu’en réalité il leur manquait plusieurs correctifs critiques.
L'équipe des laboratoires SRL a élaboré un tableau qui classe les principaux fabricants d'appareils en fonction du nombre de correctifs manqués à partir d'octobre 2017. Pour tout appareil ayant reçu au moins une mise à jour de correctif de sécurité depuis octobre, SRL souhaitait voir quel appareil les fabricants étaient les meilleurs et lesquels étaient les pires pour patcher avec précision leurs appareils contre la sécurité de ce mois bulletin.
De toute évidence, Google, Sony, Samsung et le moins connu Wiko sont en tête de liste, tandis que TCL et ZTE sont en bas. Cela signifie que ces deux dernières sociétés ont manqué au moins 4 correctifs lors d'une mise à jour de sécurité pour l'un de leurs appareils après octobre 2017. Cela signifie-t-il nécessairement que TCL et ZTE sont en faute? Oui et non. Bien qu'il soit honteux pour les entreprises de déformer le niveau d'un correctif de sécurité, SRL souligne que les fournisseurs de puces sont souvent à blâmer: les appareils vendus avec des puces MediaTek manquent souvent de nombreux correctifs de sécurité critiques car MediaTek ne parvient pas à fournir les correctifs nécessaires aux fabricants d'appareils. D’un autre côté, Samsung, Qualcomm et HiSilicon étaient beaucoup moins susceptibles de manquer de fournir des correctifs de sécurité pour les appareils fonctionnant sur leurs chipsets.
Quant à la réponse de Google à cette recherche, la société reconnaît son importance et a lancé une enquête sur chaque appareil présentant une « lacune de correctif » notée. On ne sait pas encore comment exactement Google prévoit d'éviter cette situation à l'avenir, car il n'existe aucune vérification obligatoire de la part de Google pour garantir que les appareils exécutent le niveau de correctif de sécurité qu'ils prétendent avoir. en cours d'exécution. Si vous souhaitez savoir quels correctifs manquent à votre appareil, l'équipe des laboratoires SRL a créé une application Android qui analyse le micrologiciel de votre téléphone pour détecter les correctifs de sécurité installés et manquants. Toutes les autorisations requises pour l'application et le besoin d'y accéder peuvent être consultés ici.
Prix : Gratuit.
4.
Nous avons récemment signalé que Google se préparait peut-être à diviser les niveaux du framework Android et du correctif de sécurité du fournisseur. À la lumière de ces récentes nouvelles, cela semble désormais plus plausible, d'autant plus qu'une grande partie de la faute revient aux fournisseurs qui ne parviennent pas à fournir à temps les correctifs de chipset à leurs clients.