Les fabricants de téléphones Android ignorent les mises à jour de sécurité Google sans en avertir les utilisateurs - étude

Les fabricants de téléphones Android ignorent les mises à jour de sécurité Google sans en avertir les utilisateurs - étude

Certains Android Les fabricants de smartphones ignorent les correctifs de sécurité sans avertir les utilisateurs, affirmant que le logiciel de leur smartphone est à jour avec les versions de sécurité mensuelles de Google, indiquent les chercheurs.
Des chercheurs de Security Research Labs (SRL) allemands ont mené une étude de deux ans sur l’état de la sécurité d’Android axée sur les mises à jour mensuelles Google émet et exhorte les fabricants de smartphones à installer.
Ces mises à jour mensuelles sont cruciales pour sécuriser les smartphones, en corrigeant chaque mois des collections de bugs et de trous connus pour éloigner les hackers. Mais les chercheurs ont constaté qu’il y a souvent un “écart de patch” caché entre ce que les fabricants disent aux utilisateurs et ce qu’ils font réellement pour le logiciel – certains disent simplement aux gens qu’ils ont mis à jour les téléphones sans réellement patcher quoi que ce soit.
“L’installation de correctifs tous les mois est une première étape importante, mais elle est encore insuffisante si tous les correctifs correspondants ne sont pas inclus dans ces mises à jour”, ont indiqué les chercheurs. «Notre étude approfondie des téléphones Android révèle que la plupart des fournisseurs Android oublient régulièrement d’inclure certains correctifs, laissant des parties de l’écosystème exposées aux risques sous-jacents.
Chaque mise à jour de sécurité mensuelle contient une collection de correctifs pour une variété de bogues de sécurité. Google met à jour les mises à jour de sécurité mensuelles afin que les utilisateurs puissent voir si leurs smartphones ont été mis à jour avec les derniers correctifs. Cependant, bien que les fabricants puissent installer certains des correctifs, en changeant la date de mise à jour de sécurité pour la dernière version disponible dans le processus, ils peuvent ne pas installer tous les correctifs fournis dans la mise à jour d’un mois donné.
Dans les résultats dus à être présenté à la conférence de sécurité Hack in the Box Vendredi à Amsterdam, les chercheurs ont déclaré que sur les 1 200 smartphones testés, certains fabricants pourraient manquer un ou deux correctifs des mises à jour de sécurité mensuelles, mais d’autres pourraient en manquer beaucoup plus.
Avoir échoué à mettre à jour leurs smartphones avec les dernières mises à jour de sécurité est une chose, mais SRL a découvert que certains mentent simplement en installant des correctifs.

Scott Roberts, responsable de la sécurité des produits chez Android, a déclaré: «Nous travaillons avec [SRL] pour améliorer leurs mécanismes de détection afin de prendre en compte les situations où un périphérique utilise une autre mise à jour de sécurité. Semansky / AP “Nous avons trouvé plusieurs fournisseurs qui n’ont pas installé un seul correctif mais qui ont modifié la date de mise à jour de plusieurs mois. C’est une tromperie délibérée, et ce n’est pas très commun », a déclaré Karsten Nohl, fondateur de SRL dit Wired .
SRL a constaté que parmi les principaux fabricants de smartphones, Google, Sony et Samsung ont réalisé le meilleur, manquant jusqu’à un patch, OnePlus et Nokia manqués entre un et trois patches, HTC, Huawei, LG et Motorola manqué trois à quatre patches, tandis que les fabricants chinois TCL et ZTE ont manqué plus de quatre.
Alors que la plupart de ces correctifs de sécurité manqués ne sont pas forcément intrinsèquement dangereux, les pirates informatiques enchaînent généralement plusieurs failles de sécurité pour atteindre leur objectif, prendre le contrôle des appareils et voler des données. Laisser des trous non corrigés affaiblit la sécurité globale d’un appareil.
“Les systèmes d’exploitation modernes comprennent plusieurs barrières de sécurité … qui doivent généralement être piratées pour pirater à distance un téléphone. En raison de cette complexité, quelques correctifs manquants ne sont généralement pas suffisants pour qu’un pirate puisse compromettre à distance un appareil Android “, ont écrit les chercheurs.
Alors que les criminels comptent généralement sur l’ingénierie sociale pour tenter de voler les données des utilisateurs, par le biais d’applications malveillantes et autres, les acteurs sponsorisés par l’État sont plus susceptibles d’exploiter les correctifs manqués dans le cadre de leurs attaques.
Scott Roberts, responsable de la sécurité des produits Android, a déclaré: «Nous travaillons avec [SRL] pour améliorer les mécanismes de détection afin de prendre en compte les situations où un périphérique utilise une autre mise à jour de sécurité plutôt que la mise à jour de sécurité suggérée par Google.
“Les mises à jour de sécurité sont l’une des nombreuses couches utilisées pour protéger les appareils Android et les utilisateurs. Les protections de plate-forme intégrées, telles que le sandbox d’application, et les services de sécurité, tels que Google Play Protect, sont tout aussi importants. Ces couches de sécurité – combinées à la grande diversité de l’écosystème Android – contribuent aux conclusions des chercheurs selon lesquelles l’exploitation à distance des appareils Android reste difficile.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.