Votre smartphone héberge de nombreuses données importantes et Google souhaite contribuer à leur sécurité.
Nos smartphones sont au centre d’une grande partie de nos vies. Nous communiquons avec nos proches, planifions nos journées et organisons nos finances grâce à eux. Ils constituent le vecteur d’attaque idéal pour quelqu’un qui voudrait vous cibler ou vous voler, et c’est pourquoi tant d’efforts sont déployés pour les sécuriser. Google a maintenant détaillé comment il sécurise la plate-forme Android non seulement via Android lui-même, mais également comment il protège contre les attaques sur le micrologiciel d'autres microprocesseurs qui font partie de votre SoC.
Google s'est concentré sur la prévention des attaques contre le processeur d'applications (AP) lorsqu'il effectue des tâches telles que la création d'atténuations basées sur le compilateur dans Android. La société a annoncé qu'elle travaillait désormais avec des « partenaires de l'écosystème » dans plusieurs domaines visant à renforcer la sécurité des micrologiciels interagissant avec Android. Ils explorent des solutions de nettoyage basées sur un compilateur telles que
LiéSan et IntSan, ainsi que d’autres mesures d’atténuation des exploits. La société étudie également des fonctionnalités supplémentaires de sécurité de la mémoire, dont nous savions qu'il pourrait arriver avec Android 14.Google a travaillé sur l'amélioration de la sécurité dans Android 12 et Android 13 en introduisant la prise en charge native de Rust pour modules sécurisés pour la mémoire, et Android 13 est la première version d'Android à avoir une majorité de nouveau code écrit en Rouiller. Il est difficile de créer des mesures d'atténuation des exploits pour les processeurs qui exécutent un micrologiciel nettement plus petit que celui ce qui peut être exécuté sur l'AP, et toutes les atténuations créées peuvent, à leur tour, affecter négativement performance.
Parallèlement au lancement d'Android 13, Google a mis à jour son lignes directrices sur la gravité pour mettre davantage en évidence les bogues exploitables à distance dans le micrologiciel de connectivité. L'entreprise accepte et récompense également les contributions externes via son Programme de récompenses pour les vulnérabilités. Cela contribue à inciter les chercheurs en sécurité à identifier les bogues graves et à les signaler à Google. ce qui améliore alors la sécurité de la plateforme globale. Il est important de protéger non seulement le système d'exploitation qui s'exécute sur le point d'accès, mais également les autres micrologiciels plus petits qui s'exécutent sur d'autres parties du SoC.