Google: ‘Les fabricants Android corrigent trop tard’

© Getty Images
Els Bellens

Les fabricants de téléphones Android attendent trop longtemps avant d’installer les patches, ce qui fait que d’anciennes failles peuvent encore être abusées par les agresseurs, selon Project Zero de Google.

Project Zero est le groupe de recherche de Google en matière de sécurité. Dans un nouveau rapport posté sur son blog, Ian Beer, un chercheur de ce groupe, écrit que les fabricants attendent trop longtemps avant d’expédier les correctifs pour les téléphones Android. Quasiment la moitié des bugs 0-day qui ont été abusés au cours des six premiers mois de 2022, se sont ainsi avérés être des variantes de failles pour lesquelles il existait déjà des patches, selon Beer.

La conclusion est que les fabricants de matériel doivent être plus rapides et plus minutieux dans le déploiement des correctifs et l’envoi des mises à jour sécuritaires à leurs utilisateurs. Beer cite l’exemple de cinq bugs dans le pilote GPU Mali d’Arm découverts par Project Zero. Cette combinaison permet aux agresseurs d’obtenir un accès complet à un système et de contourner les autorisations classiques dans Android. Les failles avaient été signalées à Arm en juin et en juillet de cette année. Elles avaient été colmatées, mais les correctifs ont été insuffisamment installés, selon Beer.

Le communiqué posté sur le blog invite en outre aussi les fabricants de téléphones Android à expédier plus rapidement les mises à jour sécuritaires. ‘Nous conseillons aux utilisateurs d’effectuer la correction le plus rapidement possible après que la mise à jour sécuritaire soit disponible, mais cela s’applique aussi aux fabricants et aux entreprises’, ajoute encore Beer.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire