C’est ce printemps que Google doit présenter la toute nouvelle version d’Android, lors de la conférence I/O qui se tiendra au début du mois de mai. En attendant de savoir ce que contiendra Android Q — son nom de code –, l’entreprise américaine ne reste pas les bras croisés : elle continue de faire évoluer son système d’exploitation mobile chaque mois en publiant ses derniers patchs de sécurité.
Pour février 2019, ce sont très exactement 42 défauts de conception logicielle qui ont été résolus. Détaillées dans le dernier bulletin, les vulnérabilités concernent surtout des composants fournis par l’équipementier Qualcomm. La société américaine est mentionnée à quatorze reprises dans le patch note. Un autre équipementier est cité, Nvidia, avec quatre brèches.
Le reste des vulnérabilités se répartit entre divers composants d’Android. Selon Google, le souci le plus sévère est une vulnérabilité critique de sécurité dans le Framework de l’OS. Celle-ci pourrait être exploitée par un tiers malveillant pour mener une attaque à distance, en se servant d’un fichier spécial utilisant le format d’image PNG. Ce fichier serait alors en mesure d’exécuter des instructions nuisibles.
Différents types de risque
Toutes les failles corrigées dans ce patch note n’ont pas le même degré de criticité. Si onze d’entre elles sont jugées « critiques », trente autres sont classées à un rang moindre (leur dangerosité est « élevée ») et la dernière ne constitue qu’un souci « modéré ».
Selon Google, une partie de ces failles peut déboucher sur une élévation injustifiée de privilèges, ce qui permet de donner à un tiers un accès à certaines portions du système normalement inaccessibles. D’autres peuvent exposer des informations sensibles à des regards indiscrets, permettre de contrôler secrètement le smartphone à distance ou bien d’entraver son fonctionnement.
« L’évaluation de la gravité [d’une faille] est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plateforme et du service soient désactivées à des fins de développement ou parce qu’elles ont été contournées avec succès », explique Google.
Comme toujours, l’accès aux derniers correctifs d’Android dépend de la politique de mise à jour de chaque constructeur, mais aussi de l’ancienneté du smartphone.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !