17.02.2020 à 19:49

AndroidHalte aux modifications qui menacent la sécurité

Google affirme qu'en ajoutant des fonctionnalités personnalisées inutiles sur son système mobile, les fabricants comme Samsung introduisent des failles.

de
man
Le petit robot vert, appelé bugdroid, est la mascotte du système Android depuis quelques années.

Le petit robot vert, appelé bugdroid, est la mascotte du système Android depuis quelques années.

Keystone/AP/David Goldman

Google pointe du doigt Samsung et les autres constructeurs de smartphones qui touchent au noyau Linux d'Android. En voulant personnaliser le système mobile avec des fonctionnalités de sécurité que le géant du web juge «inutiles», ils provoquent l'effet inverse: ils introduisant des failles de sécurité, déplore Google.

Dans un billet de blog publié la semaine dernière, Jann Horn, chercheur en sécurité de l'équipe Project Zero de Google, détaille dans une longue analyse la découverte sur un modèle Galaxy A50 de Samsung. L'ajout par le constructeur sud-coréen de code non vérifié par les développeurs du noyau a introduit sur l'appareil un problème de corruption de mémoire. Google a signalé ce bug au fabricant en novembre dernier. Affectant le sous-système de sécurité supplémentaire de Samsung, il vient d'être corrigé dans une mise à jour rendue disponible en février. L'expert en sécurité explique aussi qu'une seconde vulnérabilité, qui avait été corrigée dans d'autres versions d'Android, permettait de rendre le premier bug exploitable par des pirates sur des appareils Galaxy tournant sous Android 9 et 10.

«Le code du noyau Linux est relativement complexe et des modifications dans son code, en particulier sans aucune relecture de la part des développeurs en amont qui gèrent la maintenance, peut facilement introduire des problèmes, même si ces modifications étaient censées ajouter des fonctionnalités de sécurité», écrit Jann Horn. Pour résoudre le problème, il suggère que les constructeurs utilisent des fonctionnalités déjà présentes dans le système, plutôt que de personnaliser le noyau Linux avec leur code.

Ton opinion

Trouvé des erreurs?Dites-nous où!