Android : failles critiques et Nougat sur 7% des appareils

Le par  |  6 commentaire(s)
Android-Nougat

Des vulnérabilités de sécurité critiques à corriger - si possible - pour Android, dont six pour le décidément problématique composant Mediaserver qui avait révélé les failles Stagefright à l'été 2015.

La mise à jour de sécurité de mai pour Android est annoncée. Google explique diviser les correctifs en deux niveaux. Depuis le 1er mai, il s'agit d'un niveau partiel, tandis que le niveau complet sera proposé à partir du 5 mai.

Avec ces deux niveaux, l'idée est que les partenaires Android disposent d'une plus grande flexibilité afin de corriger rapidement un ensemble de vulnérabilités qui sont similaires pour tous les appareils Android. En somme, le niveau partiel s'intéresse aux vulnérabilités affectant Android en général, tandis que le niveau complet y ajoute des correctifs pour des pilotes logiciels.

On notera une nouvelle fois que le composant Mediaserver d'Android n'échappe pas à la correction de vulnérabilités critiques. Un total de six failles critiques de type exécution de code à distance (dans le contexte du processus Mediaserver). Il est évoqué une exploitation par le biais d'un " fichier spécialement conçu pour provoquer une corruption de mémoire au cours de la lecture d'un fichier multimédia et du traitement des données. "

Du reste, l'avertissement général pour mettre l'accent sur les problèmes les plus graves fait amplement référence aux problèmes en lien avec Mediaserver : " Une vulnérabilité de sécurité critique pourrait permettre une exécution de code à distance sur un appareil affecté via diverses méthodes comme l'email, la navigation Web, les MMS lors du traitement de fichiers multimédias. " À condition de contourner les mesures de mitigation en place.

Dans la mise à jour complète, on trouvera des correctifs pour d'autres vulnérabilités critiques et qui n'affectent pas nécessairement les appareils Nexus et Pixel de Google. Des composants Qualcomm bénéficient en particulier de quelques patchs.

Pour ce qui concerne les nouvelles failles découvertes, Google souligne qu'il n'y a pas d'exploitation active pour le moment. Ses appareils vont recevoir une seule mise à jour de sécurité en OTA, soit la mise à jour dite avec le niveau complet.

Fragmentation...

La semaine dernière, Google a précisé que le smartphone Nexus 6 et la tablette Nexus 9 datant de novembre 2014 n'auront plus de garantie de mises à jour de sécurité après octobre 2017. Pour les smartphones Pixel, ce sera après octobre 2019. Cela met en évidence les difficultés de Google pour lutter contre la fragmentation au sein de ses propres terminaux, tout comme avec les versions d'Android.

D'après les dernières données émanant des appareils ayant consulté le Google Play Store, le taux d'adoption d'Android 7.x Nougat vient de franchir le cap des 7 %, dont 6,6 % pour Android 7.0 et 0,5 pour Android 7.1. Et ce alors que Android O a déjà pointé le bout de son nez.

Android-taux-adoption-versions-mai-2017

Cette fragmentation demeure problématique pour la sécurité. Android Nougat divise Mediaserver et ses autorisations dans divers composants et environnements de sandbox distincts, d'où une forte atténuation de la surface d'attaque. Encore faut-il pouvoir passer à Android Nougat.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1963690
Concernant le Google Pixel, ce n'est pas plutôt après Octobre 2018 l'incertitude ? C'est ce que j'ai lu dans plusieurs articles.

Sinon clairement, on voit bien ici pourquoi Apple vend encore autant de smartphones, voir une telle fragmentation... Il est clair que seul un appareil entré/milieu de gamme est rentable avec Android vu le suivi...
Le #1963693
MaGts495 a écrit :

Concernant le Google Pixel, ce n'est pas plutôt après Octobre 2018 l'incertitude ? C'est ce que j'ai lu dans plusieurs articles.

Sinon clairement, on voit bien ici pourquoi Apple vend encore autant de smartphones, voir une telle fragmentation... Il est clair que seul un appareil entré/milieu de gamme est rentable avec Android vu le suivi...


Clair que payer 1000 balle pour un suivit de même pas 3 ans, ça fout la gerbe...
Le #1963699
"Cette fragmentation demeure problématique pour la sécurité."
C'est bien ça LE gros problème car avec tous les malwares inhérents à Android, c'est pas ça qui va inciter à utiliser le smartphone comme moyen de paiement par exemple.
Il est plus que temps que Google réagisse, revoit Android et lui permet de se mettre au moins à jour sur les correctifs de sécurité quelle que soit la version de l'OS.
Android reste ouvert aux constructeurs et opérateurs pour qu'ils fassent leur petite tambouille mais malheureusement cela se fait au détriment de la sécurité qui n'est plus assurée faute de mise à jour.
Le #1963707
Safirion a écrit :

MaGts495 a écrit :

Concernant le Google Pixel, ce n'est pas plutôt après Octobre 2018 l'incertitude ? C'est ce que j'ai lu dans plusieurs articles.

Sinon clairement, on voit bien ici pourquoi Apple vend encore autant de smartphones, voir une telle fragmentation... Il est clair que seul un appareil entré/milieu de gamme est rentable avec Android vu le suivi...


Clair que payer 1000 balle pour un suivit de même pas 3 ans, ça fout la gerbe...


On peut dire ce que l'on veut de Apple, ils ont, au moins, le meilleur SAV et suivi de tout les constructeurs de smartphone. Rien que j'ai acheté récemment un Galaxy S7 Edge et un iPhone 6S, sur la feuille on m'annonce 2 ans de garantie de fourniture de pièces pour mon S7 Edge contre 4 ans pour l'iPhone ! Au lieu de s’inspirer des prix de Apple, le monde Android devrait s'inspirer du SAV aussi...
Le #1963736
MaGts495 a écrit :

Safirion a écrit :

MaGts495 a écrit :

Concernant le Google Pixel, ce n'est pas plutôt après Octobre 2018 l'incertitude ? C'est ce que j'ai lu dans plusieurs articles.

Sinon clairement, on voit bien ici pourquoi Apple vend encore autant de smartphones, voir une telle fragmentation... Il est clair que seul un appareil entré/milieu de gamme est rentable avec Android vu le suivi...


Clair que payer 1000 balle pour un suivit de même pas 3 ans, ça fout la gerbe...


On peut dire ce que l'on veut de Apple, ils ont, au moins, le meilleur SAV et suivi de tout les constructeurs de smartphone. Rien que j'ai acheté récemment un Galaxy S7 Edge et un iPhone 6S, sur la feuille on m'annonce 2 ans de garantie de fourniture de pièces pour mon S7 Edge contre 4 ans pour l'iPhone ! Au lieu de s’inspirer des prix de Apple, le monde Android devrait s'inspirer du SAV aussi...


Ah mais ça c'est clair !
Le problème avec Android, c'est qu'ils ont très mal pensé leur OS et ont tenté de rectifié le tire avec les "patch de sécurité" mais on est encore très loin de la perfection de Windows Phone niveau mise à jour et déploiement.
Le #1964019
iAndroid a écrit :

"Cette fragmentation demeure problématique pour la sécurité."
C'est bien ça LE gros problème car avec tous les malwares inhérents à Android, c'est pas ça qui va inciter à utiliser le smartphone comme moyen de paiement par exemple.
Il est plus que temps que Google réagisse, revoit Android et lui permet de se mettre au moins à jour sur les correctifs de sécurité quelle que soit la version de l'OS.
Android reste ouvert aux constructeurs et opérateurs pour qu'ils fassent leur petite tambouille mais malheureusement cela se fait au détriment de la sécurité qui n'est plus assurée faute de mise à jour.


Ils sortent une version, ça dure pas longtemps et on doit le jeter tout de suite après.

Comme vous dites, les fabricants d'appareils n'ont rien à foutre de la sécurité.
L'appareil est une boite de pandore à pub pour des applications.

Android est comme un cheval de troie, il s'intègre dans nos vies comme avec toutes les saloperies qui vient avec.


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]