Android : trop de personnalisation constructeur nuit à la sécurité

Le par  |  6 commentaire(s) Source : Google Project Zero
android-robot

En voulant personnaliser l'expérience utilisateur d'Android pour différencier leurs smartphones, les fabricants jouent avec le feu en matière de sécurité, prévient Google.

Proposer une expérience commune est l'une des forces de l'écosystème Android mais, pour les fabricants, avoir la même interface et les mêmes services que les appareils mobiles concurrents, alors que le hardware est déjà très proche, pose un problème de manque de différenciation.

D'où les efforts pour proposer une interface spécifique et des services qui feront que l'utilisateur préférera un modèle plutôt qu'un autre. Si les fabricants ont un peu réduit leur mauvaise habitude d'inonder leurs smartphones d'applications préinstallées, ils passent du temps à modifier certaines composantes d'Android...au risque de fragiliser la plate-forme mobile, prévient Google par l'intermédiaire du Project Zero, équipe débusquant les vulnérabilités en tous genres.

Android 10 logo 02

L'exemple donné vise Samsung mais tous les fabricants sont en réalité plus ou moins concernés, en fonction de l'ampleur des modifications réalisées. Une faiblesse dans un module de sécurité du firmware du Galaxy A50 ajouté par Samsung peut créer un problème de corruption de mémoire qui donne potentiellement accès au contrôle du smartphone.

Un contrôle insuffisant du code injecté dans le kernel d'Android crée ainsi un effet en cascade aux conséquences potentiellement néfastes. L'équipe du Project Zero appelle à réfléchir à deux fois avant de procéder à de telles modifications qui finissent par affaiblir les défenses mises en place pour protéger Android et de peser le pour et le contre de ces changements.

Dans le cas cité, Jann Horn, du Project Zero, estime que certaines modifications réalisées par Samsung dans le module de sécurité du Galaxy A50 n'étaient de plus pas forcément utiles.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2091429
Bah oui, il font leur trucs au lieu de passer par HAL qui est fait pour ça...
https://en.wikipedia.org/wiki/HAL_%28software%29
Le #2091430
HAL est désormais obsolète sur la plupart des distributions Linux et sur FreeBSD.
Le #2091431
FRANCKYIV a écrit :

HAL est désormais obsolète sur la plupart des distributions Linux et sur FreeBSD.


Oui mais pas sur tous les OS, et a priori pas sur Android (ce dont on parle à priori).

https://source.android.com/devices/architecture/hal

En fait, peu importent qu'ils utilisent HAL ou udev (selon l'OS), l'important c'est qu'ils passent par l'abstraction.

Je ne fait que reprendre les dire de Jann HORN, du projet zéro, lui-même à l'origine de la découverte exposée dans cet article.

https://googleprojectzero.blogspot.com/2020/02/mitigations-are-attack-surface-too.html

"Modern Android phones access hardware devices through dedicated helper processes, which form the Hardware Abstraction Layer (HAL)."

Je suppose qu'il sait de quoi il parle.


Le #2091439
LinuxUser a écrit :

Bah oui, il font leur trucs au lieu de passer par HAL qui est fait pour ça...
https://en.wikipedia.org/wiki/HAL_%28software%29


HAL il l'ont déconnecté
https://www.youtube.com/watch?v=I1iRWKARwTY


Au fait, H, A et L c'est juste avent I, B et M dans l'ordre alphabétique
Le #2091466
Je trouve que la nouvelle version Android passe vite et les constructeurs sont lents pour corriger/améliorer avec leurs mises à jour pour les différents modèles et ça demande : plusieurs versions différents pour différents modèles....

Google n'a pas de soucis de faire Android pour tous les modèles mais les constructeurs ont du mal en sortant trop leurs nouveaux smartphones.

Alors :
Soit Google ralentit sa nouvelle version
Soit les constructeurs ralentissent ses nouveaux modèles.


Le #2091475
LauXy a écrit :

Je trouve que la nouvelle version Android passe vite et les constructeurs sont lents pour corriger/améliorer avec leurs mises à jour pour les différents modèles et ça demande : plusieurs versions différents pour différents modèles....

Google n'a pas de soucis de faire Android pour tous les modèles mais les constructeurs ont du mal en sortant trop leurs nouveaux smartphones.

Alors :
Soit Google ralentit sa nouvelle version
Soit les constructeurs ralentissent ses nouveaux modèles.




Oui une version par an c'est trop, ça fragmente le marché pour rien.
Je suis sous 8, en septembre on sera en 11 et je ne pense pas rater grand chose.
A mon époque Nexus, je trouvais ça essentiel d'avoir la dernière version, désormais tant que j'ai les maj de sécu ça me va.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme