Les téléphones Android prétendant avoir les derniers correctifs ne le font pas toujours

Les téléphones Android prétendant avoir les derniers correctifs ne le font pas toujours

Les fournisseurs Android aiment réclamer leurs smartphones sont régulièrement mis à jour avec les derniers correctifs de sécurité. Mais ne prenez pas leur mot pour cela.

Une nouvelle étude sur la sécurité menée en Allemagne a révélé que la plupart des fournisseurs Android disaient à tort aux clients que leurs téléphones étaient équipés des dernières mises à jour. En réalité, leurs mises à niveau de firmware peuvent finir par omettre quelques correctifs critiques, habituellement par accident.
Les résultats viennent de Karsten Nohl et Jakob Lell à Laboratoires de recherche sur la sécurité à Berlin, qui a examiné 1 200 échantillons de microprogrammes provenant de smartphones provenant de plus d’une douzaine de fournisseurs. Les entreprises comme Google, Samsung et Sony ont eu le meilleur dossier d’installation des correctifs, alors que les fournisseurs chinois, y compris les Motorola, TCL et ZTE de Lenovo, ont eu du mal à les déployer.
Il est déjà bien connu que les téléphones Android ont tendance à recevoir les dernières mises à jour des semaines ou des mois après la publication officielle par Google. Dans certains cas, un téléphone ne les recevra pas du tout. Une grande raison est pourquoi l’écosystème Android; Il est diffusé à travers une foule de fabricants et de transporteurs mobiles, dont chacun peaufine le système d’exploitation Android pour rendre leurs téléphones uniques.
Nohl et Lell ont décidé de enquêter les téléphones qui avaient soi-disant reçu et installé les dernières mises à jour Android. Plus précisément, ils se sont concentrés sur les correctifs pour les bogues critiques ou de haute gravité qui ont été publiés en 2017 et si les fournisseurs les déployaient vraiment.
Les deux chercheurs ont publié une ventilation de leurs résultats. Les fabricants chinois TCL et ZTE comptaient parmi les plus grands contrevenants et, en moyenne, il manquait plus de 4 correctifs dans leurs téléphones.

Cependant, les appareils avec les problèmes les plus flagrants étaient ceux construits avec les processeurs de MediaTek à Taiwan. En moyenne, ces téléphones avaient 9,7 patches manquants.
Dans une interview jeudi, Nohl a déclaré que le problème de patch peut être blâmé sur la pure “complexité” de l’écosystème Android et un manque de contrôle de la qualité. Chaque fois que Google introduit une mise à jour logicielle, les fournisseurs de chipsets comme Qualcomm et MediaTek l’évaluent, effectuent des ajustements, puis transmettent le logiciel aux fabricants de smartphones Android pour intégration. Cependant, ces fournisseurs doivent également tester le logiciel Android et sur plusieurs appareils.
Pendant tout ce processus, un patch de sécurité peut être perdu dans le remaniement, a déclaré Nohl. “Les vendeurs font généralement un effort réel, mais les choses peuvent être oubliées, ignorées, ou le vendeur voudra le faire plus tard”, a-t-il dit.
Ironiquement, l’industrie de la sécurité a peut-être aggravé le problème. “Il y a quelques années, notre communauté a fait pression sur les fournisseurs pour qu’ils corrigent chaque mois”, a déclaré M. Nohl. “Mais l’écosystème Android est si complexe.”
Samsung, par exemple, a des centaines de modèles de téléphones différents, qui peuvent tous être vendus à travers le monde. D’après Nohl, le fournisseur coréen avait généralement un bon dossier sur les mises à jour logicielles, mais il a laissé tomber la balle quand il s’agissait de ses Samsung J3 combiné, qui a été trouvé manquant 12 patches.
“Si vous n’avez qu’un mois à appliquer, vous ne pouvez pas faire beaucoup de contrôle de la qualité”, a-t-il déclaré.

La pression pour corriger peut également inciter les vendeurs à mentir. Nohl a observé quelques cas, dans lesquels un vendeur a essayé de tromper les consommateurs sur la sécurité de leur téléphone. Ses recherches ont été lancées lorsque son entreprise s’est plainte à un fabricant des patchs manquants sur le smartphone d’un client.
“En réponse à notre plainte, tout ce que le fournisseur a fait était de changer la date (du logiciel) d’un an”, a déclaré Nohl. “Cela nous a fait réaliser que la date n’est pas liée à des preuves.”
Nohl a refusé de nommer le fournisseur, mais il a essayé de tenir les fabricants de smartphones responsables. Il a pointé du doigt le vendeur français derrière le Wiko Freddy, un smartphone qui aurait perdu 80 patches. “Une fois qu’ils ont été mis au courant, ils sont venus autour”, a déclaré Nohl.
La bonne nouvelle est que Nohl et sa compagnie ont trouvé une solution. Le jeudi, son entreprise libéré une version mise à jour d’une application qui peut vous indiquer si votre smartphone manque de correctifs. Les données tirées de cette application peuvent ensuite être partagées avec les fabricants de périphériques dans l’espoir que les problèmes seront résolus.
En attendant, les propriétaires de smartphones concernés ne devraient pas paniquer s’ils remarquent une mise à jour logicielle manquante. “Sauter un seul patch n’expose généralement pas le risque”, a déclaré Nohl. Souvent, le piratage d’un appareil Android implique l’exploitation d’une chaîne de bogues logiciels, pas simplement un. La plupart des malwares Android peuvent également être évités en faisant attention à ce que vous téléchargez; par exemple, les cybercriminels aiment diffuser le code malveillant à travers des applications d’apparence légitime en les téléchargeant dans des boutiques d’applications tierces.
Néanmoins, chaque patch sur un smartphone Android est comme une couche de protection. Le moins que vous avez, le plus vulnérable que votre appareil peut être à certaines attaques, a déclaré Nohl.

En réponse à ses recherches, Google a convenu que même sans les derniers correctifs de sécurité, l’exploitation d’un téléphone Android «reste difficile». La société ajoute continuellement de nouvelles garanties à l’OS Android qui peut isoler et détecter le code malveillant avant qu’il ne s’implante.
En outre, Google travaille à améliorer l’application de Nohl afin qu’elle puisse identifier les téléphones Android installés avec des «mises à jour de sécurité alternatives» qui, selon l’entreprise, pourraient avoir été ignorées de ses recherches.
MediaTek a déclaré que l’entreprise prend la sécurité et la confidentialité au sérieux, mais n’a pas eu l’occasion de revoir la recherche de Nohl. Lui et son collègue Jakob Lell planifient en présentant leurs conclusions vendredi lors d’une conférence de sécurité.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.