Que font les fabricants ? Des millions de téléphones menacés par une faille sévère révélée depuis des mois !

Publié le 25 novembre 2022 à 18h20

Ironie de l'histoire, c'est une équipe de chercheurs en sécurité financée par Google qui accuse Google elle-même et les autres marques Android de tarder à combler les failles de sécurité.

Project Zero, une force composée d'experts en sécurité mise en place par la firme de Mountain View, a publié un rapport sur des vulnérabilités présentes dans les GPU Mali d'ARM, très utilisés dans les puces présentes dans les smartphones Android.

ARM a été réactive, mais c'est bien la seule…

L'équipe de Project Zero avait donné l'alerte en juin 2022, et les failles de sécurité en question ont été corrigées par ARM, en juillet pour certaines et en août pour les autres. Cependant, la plupart des constructeurs n'ont toujours pas proposé de patch correctif sur leurs smartphones aux utilisateurs. Les mobiles Pixel, Samsung, Xiaomi et OPPO sont notamment cités.

« Tout comme il est recommandé aux utilisateurs d'installer les correctifs le plus rapidement possible une fois qu'une version contenant des mises à jour de sécurité est disponible, les fabricants doivent aussi jouer le jeu », estime Project Zero. Le groupe considère qu'il est de la responsabilité des constructeurs de minimiser le temps où les appareils vont rester vulnérables.

« Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible », conclut l'initiative.

5 vulnérabilités non patchées par les constructeurs

Ce sont au total 5 failles de sécurité qui ont été identifiées, dont l'une entraîne la corruption de la mémoire du noyau, et une autre, la divulgation d'adresses de mémoire physique à l'espace utilisateur.

Selon les chercheurs, un attaquant avec exécution de code natif pourrait par exemple obtenir un accès complet au système en contournant le modèle d'autorisations d'Android. Cela lui permettrait alors d'obtenir un large accès aux données de l'utilisateur.

Nous espérons donc voir apparaître dans les prochains patch notes proposés par les marques de smartphone la mention à un correctif pour CVE-2022-36449. La publication de Project Zero pourrait mettre suffisamment de pression sur les constructeurs pour les forcer à agir.

Source : Project Zero

Par Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Articles d'Alexandre Schmid

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

ptitepuce

Ouh ça craint, mais c’est au bon vouloir de la marque.
Tous ceux et celles qui ont un smartphone âgé de 3 ans ou +, ils ne verront jamais les potentiels correctifs…
C’est mon cas, ça fait un an et demi que je ne reçois plus de MAJ sur mon Huawei, heureusement que je m’en sers pas trop, et que je ne fais rien de sensible dessus.

mehdi

« un attaquant avec exécution de code natif » donc c’est via une application Android qui doit être installé avec consentement de l’utilisateur ? Arf de toute façon via une faille de sécurité de chrome ou d’une application sms ou mail il installe l’application de toute manière… On est mal

gemini7

Eh zut alors, Pixel, Samsung, Xiaomi et Oppo, dans deux cas, je suis foutu.
Les constructeurs devraient être plus encadrés par la loi, pour éviter ce genre de chose.
Mais comme tout ce qui les intéresse, c’est le blé qu’ils mettent dans leurs poches, ça ne changera rien.

trollkien

Les constructeurs devraient être uniquement des fabricants, et proposer du hardware et des pilotes point barre, et laisser google gérer tout le reste.

Ce qui serai une grosse avancée pour la durabilité des smartphones en terme de sécurtié et d’obsolescence programmée

Le systeme actuel est juste une mauvaise blague récurrente

brice_wernet

C’est pour cela, et avec l’enseignement de ma tablette NVIDIA, que je lorgne seulement sur les anciens Samsung supportés en lineage ou carrément sur les sony dont Sony publie les pilotes pour la version open-source sur leur propre site

mrassol

lineage c’est pas non plus parfait malheureusement. y’a quand meme pas mal de bidouille dans les roms tierces. parfois y’a du mieux, souvent c’est pire.

pour les sony, ne compte pas sur les rom tierces, le constructeur est abandonné des dev a cause de leur politique liées aux DRM : tu unlock le bootloader, ton appareil photo fonctionnera moins bien, et meme si tu relock, c’est pareil

brice_wernet

C’est le choix entre la sécurité et les fonctionnalités. DE toutes façon la plupart des fonctionnalités « avancées » qu’on voit sur la brochure oscillent entre foutaises, trucs inutiles, mal finis et parties logicielles abandonnées rapidement (oui, j’ai acheté du Asus aussi )