Android : ne vous fiez pas forcément à la date de mise à jour du patch de sécurité
Les dates de mise à jour des patches de sécurité sur les appareils mobiles Android ne correspondent pas toujours à la réalité, ont constaté des experts en sécurité.
En vérifiant la date de mise à jour du patch de sécurité d'Android sur votre smartphone, vous pensiez disposer des dernières protections en date ? Ce n'est pas forcément, constatent les experts en sécurité de Security Research Lab (SRL).
Tout simplement parce que certains fabricants de smartphones modifient cette date de mise à jour...sans installer pour autant les correctifs correspondants. Les chercheurs de SRL ont examiné quelque 1200 smartphones en provenance d'une douzaine de fabricants et vérifié la présence des patches en fonction de la date de mise à jour affichée.
Surprise, dans certains cas, plusieurs fournées de correctifs sont absentes alors que le smartphone indique être à jour, laissant croire que l'appareil est protégé contre les dernières failles découvertes.
Parfois, il ne s'agit que d'un oubli et ou bien cela peut-être lié au suivi plus ou moins assidu du SoC mais cette découverte interroge sur les motivations de certains fabricants.
Si les smartphones haut de gamme des grands fabricants sont généralement peu impactés, la situation est plus complexe pour les modèles de milieu et d'entrée de gamme.
Le problème est donc qu'il est difficile de connaître la réalité de la sécurisation d'un smartphone, l'information de la date des dernières mises à jour affichée dans les réglages n'étant pas fiables.
SRL a d'ailleurs réalisé une mise à jour de son application de sécurité Android SnoopSnitch pour permettre aux utilisateurs de vérifier le véritable état de sécurité de leur appareil mobile.
Google a depuis répondu en prenant acte des résultats mais en soulignant que la protection d'Android en plusieurs couches contribue à sécuriser les appareils même sans forcément disposer des derniers patches. Par ailleurs, certains fabricants préfèrent désactiver une fonctionnalité vulnérable plutôt que d'intégrer le patch correspondant.
Et il reste difficile de mener une attaque sur la base d'un ou deux correctifs manquants, les prises de contrôle des smartphones nécessitant généralement une cascade de vulnérabilités.
-
Avec l'arrivée de Windows 10, le temps du Patch Tuesday semble révolu pour Microsoft. Un rendez-vous mensuel qui a vécu et va céder sa place à un dispositif moins rigide. Tacler Google et Android est le petit plaisir que Microsoft ... -
Google confirme ne pas avoir l'intention de corriger une vulnérabilité de sécurité affectant d'anciennes versions de WebView et ainsi le navigateur Web par défaut d'anciennes versions d'Android. Près de 60 % des utilisateurs ...
Vos commentaires
Ici : http://kulturegeek.fr/news-137155/android-plusieurs-constructeurs-mentent-leurs-utilisateurs-concernant-mises-jour-securite ??
Bon OK la conclusion de l'article manque de panache... Mon 5T est pile à jour d'après SnoopSnitch par exemple.
La même sur mon Mix2 tout est clean.
Entre 0 et 1 correctif manquant : Google, Sony, Samsung, Wiko
Entre 1 et 3 correctifs manquants : Xiaomi, OnePlus, Nokia
Entre 3 et 4 correctifs manquants : HTC, Huawei, LG, Motorola
Plus de 4 correctifs manquants : TLC, ZTE