En vérifiant la date de mise à jour du patch de sécurité d'Android sur votre smartphone, vous pensiez disposer des dernières protections en date ? Ce n'est pas forcément, constatent les experts en sécurité de Security Research Lab (SRL).
Tout simplement parce que certains fabricants de smartphones modifient cette date de mise à jour...sans installer pour autant les correctifs correspondants. Les chercheurs de SRL ont examiné quelque 1200 smartphones en provenance d'une douzaine de fabricants et vérifié la présence des patches en fonction de la date de mise à jour affichée.
Parfois, il ne s'agit que d'un oubli et ou bien cela peut-être lié au suivi plus ou moins assidu du SoC mais cette découverte interroge sur les motivations de certains fabricants.
Si les smartphones haut de gamme des grands fabricants sont généralement peu impactés, la situation est plus complexe pour les modèles de milieu et d'entrée de gamme.
Le problème est donc qu'il est difficile de connaître la réalité de la sécurisation d'un smartphone, l'information de la date des dernières mises à jour affichée dans les réglages n'étant pas fiables.
SRL a d'ailleurs réalisé une mise à jour de son application de sécurité Android SnoopSnitch pour permettre aux utilisateurs de vérifier le véritable état de sécurité de leur appareil mobile.
Google a depuis répondu en prenant acte des résultats mais en soulignant que la protection d'Android en plusieurs couches contribue à sécuriser les appareils même sans forcément disposer des derniers patches. Par ailleurs, certains fabricants préfèrent désactiver une fonctionnalité vulnérable plutôt que d'intégrer le patch correspondant.
Et il reste difficile de mener une attaque sur la base d'un ou deux correctifs manquants, les prises de contrôle des smartphones nécessitant généralement une cascade de vulnérabilités.
