La sécurité est un problème sérieux, c’est pourquoi nous vous recommandons d’installer les mises à jour de votre smartphone dès qu’elles sont disponibles. Mais cela ne signifie pas nécessairement que le problème qui y est abordé sera résolu : des recherches approfondies menées par les laboratoires allemands de recherche sur la sécurité (SRL) indiquent que de nombreuses mises à jour pour Android disponibles auprès de divers fabricants comportent des corrections manquantes.
Karsten Nohl et Jakob Lell sont les chercheurs du SRL qui ont mené l’enquête. Ils ont utilisé la rétro-ingénierie et d’autres techniques pendant deux ans pour analyser le micrologiciel de 1 200 smartphones de plus de dix marques, dont Samsung, Motorola, HTC, Xiaomi et ZTE. La ligne Pixel de Google a également été testée.
De plus amples détails sur le sujet, y compris les modèles concernés, devraient être communiqués lors de la conférence sur la sécurité “Hack in the Box” prévue pour ce vendredi (13). Mais des chercheurs ont dit à Wired que dans de nombreux cas, les fabricants indiquent dans la description de la mise à jour que le dispositif reçoit des corrections publiées dans une certaine période alors qu’en fait, beaucoup d’entre elles n’existent pas.
Bien que moins fréquemment, SRL prétend également avoir trouvé des appareils qui n’ont pas reçu de mises à jour. Dans ce cas, les fabricants auraient simplement reporté la date de livraison du colis.
Sur la base d’une comparaison des appareils ayant reçu au moins un paquet de mises à jour en octobre 2017 ou plus tard, SRL affirme que le problème est plus fréquent dans les appareils de marques chinoises, mais que les appareils de sociétés renommées, comme Samsung et Google lui-même, cessent également de recevoir certaines mises à jour :
Les chercheurs affirment également que les téléphones portables équipés de puces Samsung ont moins de patchs manquants. À l’autre extrémité se trouvent des unités équipées de processeurs MediaTek :
En général, les appareils les moins chers sont les plus négligés. Pour donner un exemple, SRL déclare que si la Galaxy J5 2016 signale correctement tous les correctifs installés, dans la Galaxy J3 2016 il y a des informations selon lesquelles les correctifs publiés en 2017 ont tous été mis à disposition, alors que 12 sont manquants, dont deux sont considérés comme critiques.
Recherché par Wired, Google a expliqué que de nombreux appareils examinés par SRL ne sont pas certifiés Android, ce qui signifie qu’ils ne sont pas soumis aux normes de sécurité établies par l’entreprise.
Google a également déclaré que les smartphones les plus récents sont dotés de fonctions de sécurité qui rendent les intrusions difficiles, même lorsqu’il y a des trous non réparés, et que dans certains cas, des patchs manquent simplement parce que le fabricant a décidé de supprimer la fonction vulnérable au lieu de la réparer.
L’entreprise admet toutefois que la recherche sur les SARL est importante et que des analyses plus nombreuses que celles effectuées par défaut peuvent être nécessaires. Il est conseillé d’attendre Hack in the Box afin de connaître l’étendue du problème.
Pour ceux qui veulent connaître l’état de leur smartphone, l’application SnoopSnitch est disponible, qui analyse le micrologiciel de l’appareil pour trouver les correctifs installés et manquants.