Google avertit que les fabricants de smartphones Android doivent s’améliorer pour corriger leurs appareils.
Dans un article de blog (s’ouvre dans un nouvel onglet) publié par la branche cybersécurité de Google, Project Zero, les chercheurs expliquent comment la plus grande force d’Android – la décentralisation de son écosystème – est aussi sa plus grande faiblesse.
Dans l’état actuel des choses, il indique que le processus de correction est trop lent, trop lourd et trop divisé, laissant les consommateurs exposés à des vulnérabilités connues et relativement faciles à exploiter.
Les malheurs de la décentralisation
Android, bien que construit par Google, est basé sur Linux, et c’est essentiellement une solution open source, de sorte que les fabricants de smartphones tiers comme Samsung, Oppo, LG et OnePlus peuvent s’approprier leur version du système d’exploitation.
Par conséquent, lorsque Google publie un correctif, il doit d’abord être analysé et modifié par le fabricant, avant d’être transmis à l’appareil. Cela signifie que les utilisateurs d’Android risquent d’être compromis par des logiciels malveillants pendant une période prolongée.
Si cette période s’allonge trop longtemps et que Google publie les détails de la vulnérabilité, cela donne aux cybercriminels une occasion unique de compromettre les terminaux sans avoir à rechercher de nouveaux zero-days.
En revanche, Apple propose un écosystème fermé pour ses appareils. L’entreprise est en charge de la construction de la plupart de son matériel et de ses logiciels. Ainsi, avec des mises à jour fermement sous le contrôle d’Apple, chaque fois que l’entreprise publie un correctif, la plupart des terminaux l’obtiennent assez rapidement.
C’est exactement ce qui s’est passé avec CVE-2021-39793, une vulnérabilité dans le pilote GPU ARM Mali utilisé par de nombreux appareils Android qui Tech Radar Pro signalé en novembre 2022.
Dès que Google a conclu son enquête sur ce jour zéro en juillet 2022, il a signalé les résultats à ARM, qui l’a ensuite corrigé en août 2022. Trente jours plus tard, Google a rendu ses conclusions publiques.
Cependant, tous les appareils de test qui utilisaient le Mali sont restés vulnérables aux problèmes, a constaté Google. « CVE-2022-36449 n’est mentionné dans aucun bulletin de sécurité en aval », a-t-il déclaré à l’époque, soulevant la question de ce qu’il appelle le « patch gap ».
« Tout comme il est recommandé aux utilisateurs de corriger le plus rapidement possible une fois qu’une version contenant des mises à jour de sécurité est disponible, il en va de même pour les fournisseurs et les entreprises », indique le billet de blog.
« Minimiser le « écart de correctifs » en tant que fournisseur dans ces scénarios est sans doute plus important, car les utilisateurs finaux (ou d’autres fournisseurs en aval) bloquent cette action avant de pouvoir bénéficier des avantages de sécurité du correctif. »
« Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible. »