Android : ne vous fiez pas forcément à la date de mise à jour du patch de sécurité

Le par  |  4 commentaire(s) Source : Wired
logo-android

Les dates de mise à jour des patches de sécurité sur les appareils mobiles Android ne correspondent pas toujours à la réalité, ont constaté des experts en sécurité.

En vérifiant la date de mise à jour du patch de sécurité d'Android sur votre smartphone, vous pensiez disposer des dernières protections en date ? Ce n'est pas forcément, constatent les experts en sécurité de Security Research Lab (SRL).

Tout simplement parce que certains fabricants de smartphones modifient cette date de mise à jour...sans installer pour autant les correctifs correspondants. Les chercheurs de SRL ont examiné quelque 1200 smartphones en provenance d'une douzaine de fabricants et vérifié la présence des patches en fonction de la date de mise à jour affichée.

Android sécuritéSurprise, dans certains cas, plusieurs fournées de correctifs sont absentes alors que le smartphone indique être à jour, laissant croire que l'appareil est protégé contre les dernières failles découvertes.

Parfois, il ne s'agit que d'un oubli et ou bien cela peut-être lié au suivi plus ou moins assidu du SoC mais cette découverte interroge sur les motivations de certains fabricants.

Si les smartphones haut de gamme des grands fabricants sont généralement peu impactés, la situation est plus complexe pour les modèles de milieu et d'entrée de gamme.

Le problème est donc qu'il est difficile de connaître la réalité de la sécurisation d'un smartphone, l'information de la date des dernières mises à jour affichée dans les réglages n'étant pas fiables.

SRL a d'ailleurs réalisé une mise à jour de son application de sécurité Android SnoopSnitch pour permettre aux utilisateurs de vérifier le véritable état de sécurité de leur appareil mobile.

Google a depuis répondu en prenant acte des résultats mais en soulignant que la protection d'Android en plusieurs couches contribue à sécuriser les appareils même sans forcément disposer des derniers patches. Par ailleurs, certains fabricants préfèrent désactiver une fonctionnalité vulnérable plutôt que d'intégrer le patch correspondant.

Et il reste difficile de mener une attaque sur la base d'un ou deux correctifs manquants, les prises de contrôle des smartphones nécessitant généralement une cascade de vulnérabilités.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2009395
Il faut publier la liste des sociétés récalcitrantes !
Le #2009397
skynet a écrit :

Il faut publier la liste des sociétés récalcitrantes !


Ici : http://kulturegeek.fr/news-137155/android-plusieurs-constructeurs-mentent-leurs-utilisateurs-concernant-mises-jour-securite ??

Bon OK la conclusion de l'article manque de panache... Mon 5T est pile à jour d'après SnoopSnitch par exemple.
Le #2009400
Kiriito a écrit :

skynet a écrit :

Il faut publier la liste des sociétés récalcitrantes !


Ici : http://kulturegeek.fr/news-137155/android-plusieurs-constructeurs-mentent-leurs-utilisateurs-concernant-mises-jour-securite ??

Bon OK la conclusion de l'article manque de panache... Mon 5T est pile à jour d'après SnoopSnitch par exemple.


La même sur mon Mix2 tout est clean.
Le #2009426
skynet a écrit :

Il faut publier la liste des sociétés récalcitrantes !


Entre 0 et 1 correctif manquant : Google, Sony, Samsung, Wiko

Entre 1 et 3 correctifs manquants : Xiaomi, OnePlus, Nokia

Entre 3 et 4 correctifs manquants : HTC, Huawei, LG, Motorola

Plus de 4 correctifs manquants : TLC, ZTE
Suivre les commentaires
Poster un commentaire
Anonyme