Mise à jour du 13 avril: Google a déclaré ce qui suit au Verge:
Nous voudrions remercier Karsten Nohl et Jakob Kell pour leurs efforts soutenus visant à renforcer la sécurité de l'écosystème Android. Nous travaillons avec eux pour améliorer leurs mécanismes de détection afin de tenir compte des situations dans lesquelles un appareil utilise une autre mise à jour de sécurité au lieu de la mise à jour de sécurité suggérée par Google. Les mises à jour de sécurité sont l'une des nombreuses couches utilisées pour protéger les appareils et les utilisateurs Android. Les protections intégrées de la plate-forme, telles que le sandboxing des applications, et les services de sécurité, tels que Google Play Protect, sont tout aussi importantes. Ces couches de sécurité, combinées à l'énorme diversité de l'écosystème Android, contribuent aux conclusions des chercheurs selon lesquelles l'exploitation à distance d'appareils Android reste un défi.
Les correctifs manqués rendent certainement votre téléphone plus vulnérable par rapport à ceux qui sont à jour, mais même dans ce cas, cela ne signifie pas que vous êtes entièrement non protégé. Les correctifs mensuels sont certainement utiles, mais des mesures générales sont en place pour garantir à tous les téléphones Android un niveau de sécurité amélioré.
Une fois par mois, Google met à jour le bulletin de sécurité Android et publie de nouveaux correctifs mensuels pour corriger les vulnérabilités et les bogues dès qu'ils apparaissent. Ce n’est un secret pour personne que de nombreux OEM mettent beaucoup de temps pour mettre à jour leur matériel avec lesdits correctifs, mais il a maintenant été découvert que certains d’entre eux affirment avoir mis à jour leurs téléphones alors que rien n’a changé du tout.
Cette révélation a été faite par Karsten Nohl et Jakob Lell de Security Research Labs. Leurs conclusions ont été récemment présentées à la conférence sur la sécurité Hack in the Box qui s'est tenue cette année à Amsterdam. Nohl et Lell ont examiné le logiciel de 1200 téléphones Android de Google, Samsung, OnePlus, ZTE et autres, et ont ainsi découvert que certaines de ces sociétés modifiaient l'apparence des correctifs de sécurité lors de la mise à jour de leurs téléphones sans les installer.
Le Galaxy J3 de Samsung de 2016 a prétendu avoir 12 correctifs qui n'étaient tout simplement pas installés sur le téléphone.
On s'attend à ce que certains des correctifs manqués soient corrigés accidentellement, mais Nohl et Lell sont tombés sur certains téléphones pour lesquels les choses ne se sont pas bien passées. Par exemple, alors que le Galaxy J5 de 2016 de Samsung répertoriait avec précision les correctifs dont il disposait, le J3 de la même année semblait avoir tous les correctifs depuis 2017 bien qu'il en ait perdu 12.
La recherche a également révélé que le type de processeur utilisé dans un téléphone peut avoir une incidence sur le fait qu'il soit ou non mis à jour avec un correctif de sécurité. Il a été constaté que très peu de correctifs étaient ignorés sur les appareils équipés de puces Samsung Exynos, alors que ceux dotés de puces MediaTek avaient en moyenne 9, 7 manquants.
Après avoir passé en revue tous les téléphones au cours de leurs tests, Nohl et Lell ont créé un tableau indiquant le nombre de correctifs manqués par les constructeurs mais affirmant avoir encore été installés. Des sociétés comme Sony et Samsung n’ont manqué que de 0 à 1, mais TCL et ZTE en ont sauté 4 ou plus.
- 0-1 correctifs manqués (Google, Sony, Samsung, Wiko)
- 1 à 3 correctifs manqués (Xiaomi, OnePlus, Nokia)
- 3-4 correctifs manqués (HTC, Huawei, LG, Motorola)
- 4+ correctifs manqués (TCL, ZTE)
Peu de temps après l'annonce de ces résultats, Google a annoncé l'ouverture d'une enquête sur chacun des constructeurs OEM coupables afin de déterminer ce qui se passait et pourquoi les utilisateurs mentent au sujet des correctifs qu'ils possèdent ou non.
Même avec cela dit, quel est votre point de vue? Etes-vous surpris par les nouvelles, et cela aura-t-il un impact sur les téléphones que vous achetez? Sound off dans les commentaires ci-dessous.
Pourquoi j'utilise toujours un BlackBerry KEYone au printemps 2018