Samsung-Galaxy-S6-Edge Pour séduire les entreprises, la sécurisation des appareils mobiles Android doit être irréprochable. Si Google a le contrôle sur la conception des smartphones et tablettes de la gamme Nexus, qu'en est-il des terminaux de ses partenaires et de la réactivité de ces derniers à corriger les failles ?

Le Project Zero au sein de Google a voulu en avoir le coeur net et a passé sur le grill le smartphone Samsung Galaxy S6 Edge, l'un des smartphones de référence du groupe coréen et l'un des plus aboutis de l'univers du robot vert.

L'équipe de recherche indique avoir repéré pas moins de 11 vulnérabilités importantes au terme d'un challenge qui a mis en concurrence des équipes aux Etats-Unis et en Europe avec des objectifs précis, comme tenter d'accéder à distance aux données personnelles (contacts, photos, messages...) ou tenter de récupérer ces données via une application mobile qui n'est pas censée y avoir accès, ce qui peut constituer un point de départ pour outrepasser des permissions et privilèges dans le cadre d'un malware.

Après une semaine d'évaluation, 11 failles potentielles ont été détectées dans divers composants logiciels touchant des services intégrés par Samsung (comme le client de messagerie ou la galerie photo) et dans des drivers.

Si les sécurités natives d'Android (comme SELinux) ont pu freiner les investigations, certaines fragilités sont potentiellement faciles à exploiter, et trois d'entre elles peuvent outrepasser les défenses de SELinux. Si ces découvertes mettent à l'épreuve la sécurité d'Android, la bonne nouvelle est que la majorité d'entre elles a été corrigée par Samsung via une mise à jour en OTA dans les 90 jours.

Cette petite expérience du Project Zero veut aussi démontrer l'importance de la recherche permanente des bugs dans un cadre ouvert et de la mise en place d'une politique de diffusion régulière de correctifs.

Source : Project Zero