Google explique avoir développé un nouveau programme de sécurité afin de prévenir les utilisateurs lorsque leur smartphone Android présente potentiellement une vulnérabilité.
Pour sécuriser au mieux sa plateforme mobile, Google tente de coordonner au maximum les efforts de ses partenaires OEM dans le déploiement des mises à jour. Cette fois la société va plus loin avec son programme Android Partner Vulnerability Initiative (APVI), qui consiste à lister publiquement les problèmes de sécurité affectant les smartphones des constructeurs.
Android : les mesures de sécurité
Au regard de sa popularité sur le marché des smartphones, Android reste bien évidemment une cible privilégiée pour les personnes malintentionnées. Son code open source est passé au crible, à la recherche de vulnérabilités pouvant potentiellement représenter des vecteurs d'attaques. Pour pallier cela Google renforce notamment les filtres pour les applications du Play Store.
Face à l'ampleur du problème, Google expliquait en 2015 que les patchs de sécurité pour son système étaient directement publiés au sein du code open source d'Android (AOSP). De cette manière, les partenaires peuvent les déployer très rapidement sous la forme de correctifs mensuels.
Google a également ouvert son programme Play Store Security afin que les chercheurs puissent rapporter les éventuels problèmes au sein des applications populaires.
Quel antivirus Android choisir ?
Plus de transparence pour l'utilisateur
Dans un billet de blog, Google annonce aujourd'hui le lancement de l'Android Partner Vulnerability Initiative, expliquant : « jusqu'à maintenant, mis à part le code AOSP, nous n'avions pas vraiment de moyen pour traiter les problèmes de sécurité identifiés par Google et qui sont spécifiques à une petite portion de partenaires OEM ».
Dans le cadre de ce programme APVI Google a déjà repéré un certain nombre de vulnérabilités affectant des smartphones Meizu, ZTE, OPPO ou encore Huawei. Parmi les problèmes listés par Google, on retrouve le fait que certains fabricants forcent le dispositif de permissions en déployant leurs propres mises à jour.
Google ajoute par ailleurs que certains appareils ont été livrés avec un « navigateur Web populaire » disposant d'un gestionnaire de mots de passe, dont l'interface était vulnérable. Un site malveillant pouvait ainsi avoir accès aux données sensibles, ces dernières n'étant pas chiffrées de manière assez sécurisée.
Par ailleurs, plusieurs fabricants, modifient des valeurs du code source afin de forcer certaines autorisations par défaut pour leurs applications. D'autres constructeurs ont établi une liste d'applications leur donnant d'emblée certaines permissions… Autant d'éléments augmentant la vulnérabilité des produits des partenaires du géant, donc.
Source : Google
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Lire d'autres articles
