Les OEM Android s'améliorent dans le déploiement des correctifs de sécurité

En 2018, des chercheurs de Security Research Labs (SRLabs) ont publié un article soulignant comment plusieurs OEM Android déclaraient les niveaux de correctifs de sécurité Android, mais n'intégraient pas réellement tous les correctifs nécessaires sur leurs appareils. Le document a fait beaucoup de bruit dans la communauté Android et Google a ensuite lancé une enquête sur chaque appareil doté d'un a noté un « écart de correctif ». Il semble que l'enquête de Google ait eu un effet positif sur l'écosystème des correctifs Android, comme le montre un rapport récent. depuis ZDNet souligne que les taux de correctifs Android OEM ont montré des améliorations significatives au cours des deux dernières années.

Le rapport cite la dernière analyse publiée par SRLabs qui prend en compte les versions officielles du micrologiciel publiées jusqu'en 2019. SRLabs a suivi ces versions pour déterminer à quelle vitesse les OEM mettent à jour les appareils avec le dernier niveau de correctif de sécurité Android après que Google ait publié le bulletin de sécurité Android mensuel. L'entreprise a collecté les données auprès des utilisateurs qui avaient leur

SnoopSnitch application installée et ils ont identifié environ 10 000 versions de micrologiciels uniques avec des niveaux de correctifs de 2018, ainsi que 7 000 versions de micrologiciels uniques avec des niveaux de correctifs de 2019. Sur la base des données collectées, SRLabs a publié les informations suivantes :

Les OEM n’ont pas mis en œuvre deux fois moins de correctifs en 2019 qu’en 2018. SRLabs appelle cela le « taux de correctifs manqués », qui pour 2019 était inférieur à 0,4 et pour 2018 était de 0,7. Cette valeur correspond à la moyenne de tous les correctifs manqués par OEM. Ils n’ont pris en compte que les correctifs critiques et de gravité élevée dans cette détermination.

Les mises à jour de sécurité mensuelles ont été fournies aux utilisateurs environ 15 % plus rapidement dans l'ensemble, passant d'une moyenne de 44 jours à une moyenne de 38 jours. Pour obtenir ces résultats, SRLabs a approximé la différence entre la date de construction de chaque micrologiciel et la date de niveau de correctif de ce micrologiciel.

L'écosystème Android est encore fragmenté, car de nombreux constructeurs OEM doivent appliquer des correctifs de sécurité à de nombreuses versions différentes d'Android. De plus, de nombreux utilisateurs utilisent encore des appareils sur des versions EOL non prises en charge. SRLabs a découvert que seulement 30 % des téléchargements uniques en 2019 provenaient d'utilisateurs exécutant Android 9 Pie ou une version plus récente.

Les constructeurs OEM ont tendance à mettre à jour leurs versions Android les plus largement déployées plus rapidement que leurs versions moins largement déployées. Pour Samsung et Xiaomi, il s’agissait d’Android 7.1.1, tandis que pour ASUS, il s’agissait d’Android 9. Certains constructeurs OEM, comme Google et HMD Global, ont mis à jour leurs appareils incroyablement rapidement. SRLabs attribue cela au fait que ces OEM utilisent des versions vanille et publient également moins d'appareils que certains autres. Si vous souhaitez en savoir plus sur le fonctionnement des mises à jour mensuelles des correctifs de sécurité Android, vous pouvez consulter notre explication détaillée en suivant ce lien.

---

Source: Laboratoires SRL

Via: ZDNet