Android a encore de sérieux problèmes de sécurité

De 0-day à N-day

 

La sécurité est un élément central dans l'écosystème Android, et bien que des progrès significatifs aient été faits, des défis subsistent.

Google Pixel 5 // Source : Adrien sur Unsplash

L’OS Android a vu des améliorations notables, notamment avec l’intégration des mises à jour via les Play Services. Cette méthode permet de déployer rapidement des correctifs et des améliorations sans avoir besoin d’une mise à jour complète du système.

Chaque mois, Android déploie également des mises à jour de sécurité qui ciblent des vulnérabilités spécifiques et améliorent la résilience générale du système contre les attaques.

Des problèmes demeurent

Les mises à jour de sécurité arrivent souvent tardivement, en particulier en raison de la diversité des fabricants dans l’écosystème Android. Cette lenteur peut laisser des vulnérabilités ouvertes pendant de longues périodes.

Un récent article du Google Security Blog indique que les pirates peuvent exploiter les vulnérabilités N-day aussi efficacement que les vulnérabilités 0-day. Mais qu’est-ce que cela signifie ?

Vulnérabilités 0-day

Une vulnérabilité 0-day est une faille inconnue des développeurs et des équipes de sécurité. Elle peut être exploitée par des attaquants avant même que les responsables ne soient conscients de son existence.

Vulnérabilités N-day

À l’inverse, une vulnérabilité N-day est une faille déjà connue mais qui reste inexploitée pendant N jours avant qu’un correctif ne soit appliqué. Si les correctifs ne sont pas rapidement déployés, les attaquants peuvent exploiter ces vulnérabilités comme s’il s’agissait de vulnérabilités 0-day.

Un exemple concret : CVE-2022-38181

L’un des exemples souvent cités est la vulnérabilité CVE-2022-38181 liée à un pilote pour les GPU Mali d’ARM.

Signalée en juillet 2022, ARM n’a fourni un pilote corrigé qu’en octobre 2022, et les appareils concernés n’ont reçu la mise à jour qu’en avril 2023, soit environ cinq mois après les premiers rapports sur l’exploitation de la vulnérabilité.

La diversité des fabricants et la complexité des tests de correctifs ralentissent le déploiement des mises à jour de sécurité, faisant des vulnérabilités N-day un choix attrayant pour les cybercriminels. Sur Android, il est souvent plus facile de contourner les correctifs pour les vulnérabilités connues que de trouver des vulnérabilités complètement nouvelles.


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.