Google veut sécuriser davantage Android en listant les vulnérabilités affectant les produits partenaires

Par Guillaume Belfiore, Rédacteur en chef adjoint.

Publié le 05 octobre 2020 à 12h44

Google explique avoir développé un nouveau programme de sécurité afin de prévenir les utilisateurs lorsque leur smartphone Android présente potentiellement une vulnérabilité.

Pour sécuriser au mieux sa plateforme mobile, Google tente de coordonner au maximum les efforts de ses partenaires OEM dans le déploiement des mises à jour. Cette fois la société va plus loin avec son programme Android Partner Vulnerability Initiative (APVI), qui consiste à lister publiquement les problèmes de sécurité affectant les smartphones des constructeurs.

Android : les mesures de sécurité

Au regard de sa popularité sur le marché des smartphones, Android reste bien évidemment une cible privilégiée pour les personnes malintentionnées. Son code open source est passé au crible, à la recherche de vulnérabilités pouvant potentiellement représenter des vecteurs d'attaques. Pour pallier cela Google renforce notamment les filtres pour les applications du Play Store.

Face à l'ampleur du problème, Google expliquait en 2015 que les patchs de sécurité pour son système étaient directement publiés au sein du code open source d'Android (AOSP). De cette manière, les partenaires peuvent les déployer très rapidement sous la forme de correctifs mensuels.

Google a également ouvert son programme Play Store Security afin que les chercheurs puissent rapporter les éventuels problèmes au sein des applications populaires.

Lire aussi :
Quel antivirus Android choisir ?

Plus de transparence pour l'utilisateur

Dans un billet de blog, Google annonce aujourd'hui le lancement de l'Android Partner Vulnerability Initiative, expliquant : « jusqu'à maintenant, mis à part le code AOSP, nous n'avions pas vraiment de moyen pour traiter les problèmes de sécurité identifiés par Google et qui sont spécifiques à une petite portion de partenaires OEM ».

Dans le cadre de ce programme APVI Google a déjà repéré un certain nombre de vulnérabilités affectant des smartphones Meizu, ZTE, OPPO ou encore Huawei. Parmi les problèmes listés par Google, on retrouve le fait que certains fabricants forcent le dispositif de permissions en déployant leurs propres mises à jour.

Google ajoute par ailleurs que certains appareils ont été livrés avec un « navigateur Web populaire » disposant d'un gestionnaire de mots de passe, dont l'interface était vulnérable. Un site malveillant pouvait ainsi avoir accès aux données sensibles, ces dernières n'étant pas chiffrées de manière assez sécurisée.

Par ailleurs, plusieurs fabricants, modifient des valeurs du code source afin de forcer certaines autorisations par défaut pour leurs applications. D'autres constructeurs ont établi une liste d'applications leur donnant d'emblée certaines permissions… Autant d'éléments augmentant la vulnérabilité des produits des partenaires du géant, donc.

Source : Google

Par Guillaume Belfiore

Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Articles de Guillaume Belfiore

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (4)

trollkien

On en reviens à un des problèmes, voir LE problème des smarphones (sauf pour apple).

La logique voudrait que les smartphones soient du Hardware vendu par X fabricants (disons comme des pc portables). et que la partie software soit entièrement gérée par le concepteur du système d’exploitation (disons comme windows), et que tout ce qui n’est pas « stock » soit desinstallable à la volée.

Mais on a des smarphones au softwares de plus en plus exotiques et/ou bloqués par les fabricants et/ou les opérateurs.

« Les gens » (je sais pourri comme expression) ont déjà tendance à installer n’importe quoi sur le leur tel, on a pas besoin de plus.

Du coup, vive les pixels et/ou les iphones (je n’ai aucun des deux…)

KlingonBrain

Sur un smartphone, on devrait pouvoir installer facilement un Os à jour. Et surtout, l’OS de son choix. Comme sur n’importe quel PC. Et cela résoudrait tous les problèmes de failles qui découlent quasiment tous du même problème : des appareils non mis à jour.

Il faut jeter d’urgence à la poubelle ces plateformes fermées et revenir sur le modèle de compatibilité du PC, qui est, rappelons le fruit d’années de travail.

frank38

Quoi un OS Android que l’on pourrait mettre à jour comme un Windows/Mac et non pas applications par applications serait possible sans avoir à racheter un nouveau smartphone ? PFFFF fake

philumax

C’est possible. La preuve, Linux !