Ironie de l'histoire, c'est une équipe de chercheurs en sécurité financée par Google qui accuse Google elle-même et les autres marques Android de tarder à combler les failles de sécurité.
Project Zero, une force composée d'experts en sécurité mise en place par la firme de Mountain View, a publié un rapport sur des vulnérabilités présentes dans les GPU Mali d'ARM, très utilisés dans les puces présentes dans les smartphones Android.
ARM a été réactive, mais c'est bien la seule…
L'équipe de Project Zero avait donné l'alerte en juin 2022, et les failles de sécurité en question ont été corrigées par ARM, en juillet pour certaines et en août pour les autres. Cependant, la plupart des constructeurs n'ont toujours pas proposé de patch correctif sur leurs smartphones aux utilisateurs. Les mobiles Pixel, Samsung, Xiaomi et OPPO sont notamment cités.
« Tout comme il est recommandé aux utilisateurs d'installer les correctifs le plus rapidement possible une fois qu'une version contenant des mises à jour de sécurité est disponible, les fabricants doivent aussi jouer le jeu », estime Project Zero. Le groupe considère qu'il est de la responsabilité des constructeurs de minimiser le temps où les appareils vont rester vulnérables.
« Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible », conclut l'initiative.
5 vulnérabilités non patchées par les constructeurs
Ce sont au total 5 failles de sécurité qui ont été identifiées, dont l'une entraîne la corruption de la mémoire du noyau, et une autre, la divulgation d'adresses de mémoire physique à l'espace utilisateur.
Selon les chercheurs, un attaquant avec exécution de code natif pourrait par exemple obtenir un accès complet au système en contournant le modèle d'autorisations d'Android. Cela lui permettrait alors d'obtenir un large accès aux données de l'utilisateur.
Nous espérons donc voir apparaître dans les prochains patch notes proposés par les marques de smartphone la mention à un correctif pour CVE-2022-36449. La publication de Project Zero pourrait mettre suffisamment de pression sur les constructeurs pour les forcer à agir.
Source : Project Zero
Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.
Lire d'autres articles
