Des correctifs de sécurité en temps opportun et des mises à jour logicielles iOS transparentes sont parmi les principales raisons pour lesquelles de nombreux clients Android passent à un iPhone.
Cependant, une nouvelle enquête a découvert quelque chose de potentiellement inquiétant.
Wired a cité aujourd'hui la firme de sécurité allemande Security Research Lab, qui a découvert que de nombreux fournisseurs Android mentent aux clients à propos d'importants correctifs de sécurité du système d'exploitation en modifiant la date de mise à jour de sécurité sur l'appareil sans installer de correctifs..
Ce n'est un secret pour personne que Google a longtemps eu du mal à faire en sorte que les OEM et les opérateurs diffusent régulièrement des correctifs de sécurité pour Android.
Après avoir passé deux ans à analyser les mises à jour Android, la société a découvert que de nombreux OEM Android ne mettent pas les correctifs à la disposition de leurs utilisateurs ou retardent leur publication pendant des mois.
Et dans certains cas, les fournisseurs indiquent aux utilisateurs que le micrologiciel de leur téléphone est entièrement à jour, même s'ils ont secrètement ignoré les correctifs. «Nous avons trouvé plusieurs fournisseurs qui n'ont pas installé un seul correctif mais ont changé la date du correctif de plusieurs mois», explique les chercheurs Karsten Nohl.
"C'est une tromperie délibérée, et ce n'est pas très courant."
Correctifs de sécurité Android via Security Research Lab et Wired
Certains des correctifs manquants peuvent être imputés aux téléphones équipés de puces par MediaTek et Qualcomm, le premier manquant de 9,7 correctifs et le dernier 1,1 correctif en moyenne. Lorsque des bogues sont détectés dans ces puces plutôt que dans Android lui-même, le fabricant du téléphone dépend du fabricant de puces pour offrir un correctif.
"La leçon est que si vous optez pour un appareil moins cher, vous vous retrouvez dans une partie moins bien entretenue de cet écosystème", a ajouté Nohl..
Google a répondu en disant que certains des smartphones analysés par Security Research Lab n'étaient peut-être pas des appareils certifiés Android, mais a souligné qu'il travaillait avec les chercheurs pour approfondir leurs conclusions..
Selon Scott Roberts, responsable de la sécurité des produits Android:
Les mises à jour de sécurité sont l'une des nombreuses couches utilisées pour protéger les appareils et les utilisateurs Android. Les protections de plate-forme intégrées, telles que le sandboxing des applications, et les services de sécurité, tels que Google Play Protect, sont tout aussi importants. Ces couches de sécurité, combinées à la grande diversité de l'écosystème Android, contribuent aux chercheurs
Google affirme que les appareils modernes certifiés Android incluent des capacités de sécurité qui les rendent difficiles à pirater même lorsqu'ils présentent des failles de sécurité non corrigées.
Selon le géant de la recherche, dans certains cas, des correctifs de sécurité peuvent avoir été manquants sur les appareils parce que leurs fournisseurs ont peut-être supprimé une fonctionnalité vulnérable du téléphone plutôt que de la corriger, ou le téléphone n'avait pas cette fonctionnalité en premier lieu.
Security Research Lab présentera ses conclusions complètes lors d'un événement à Amsterdam.
