La mise à jour de juillet d'Android est atypique. Sur le bilan comptable, c'est la plus copieuse à ce jour avec un total de 108 vulnérabilités de sécurité mais elle est divisée en deux lots : 33 failles dont 8 critiques pour les composants d'Android, et 75 failles dont 12 critiques pour des pilotes spécifiques de divers fabricants.
Une autre vulnérabilité critique comblée est en rapport avec OpenSSL et BoringSSL. BoringSSL est un fork de la bibliothèque logicielle de chiffrement OpenSSL créé par Google pour répondre spécifiquement aux besoins d'Android ou encore de Chrome.
Dans le deuxième lot, les rustines critiques concernent pour l'essentiel des pilotes fournis par Qualcomm (GPU et autres), MediaTek (Wi-Fi), Nvidia ou encore pour le pilote USB. À chaque fois, il est question de vulnérabilités de type élévation de privilèges mais de tels pilotes sont chargés dans le noyau.
On rappellera par ailleurs que Qualcomm a récemment été pointé du doigt pour un problème " d'affaiblissement " de la robustesse du chiffrement d'un appareil avec Android (face à des attaques).
Google encourage tous les utilisateurs à accepter les mises à jour de sécurité… en tout cas si elles arrivent sur leurs appareils. La division en deux lots a été voulue pour offrir aux partenaires Android une plus grande flexibilité et afin qu'ils corrigent plus rapidement des vulnérabilités qui sont similaires pour tous les appareils.
Les primes aux chercheurs en sécurité tiers, qui découvrent et rapportent des vulnérabilités Android, ont récemment été revues à la hausse. Il n'est donc pas interdit de penser que le nombre de failles à combler continuera de prendre de l'embonpoint.
