C’est ce printemps que Google doit présenter la toute nouvelle version d’Android, lors de la conférence I/O qui se tiendra au début du mois de mai. En attendant de savoir ce que contiendra Android Q — son nom de code –, l’entreprise américaine ne reste pas les bras croisés : elle continue de faire évoluer son système d’exploitation mobile chaque mois en publiant ses derniers patchs de sécurité.
Pour février 2019, ce sont très exactement 42 défauts de conception logicielle qui ont été résolus. Détaillées dans le dernier bulletin, les vulnérabilités concernent surtout des composants fournis par l’équipementier Qualcomm. La société américaine est mentionnée à quatorze reprises dans le patch note. Un autre équipementier est cité, Nvidia, avec quatre brèches.
Le reste des vulnérabilités se répartit entre divers composants d’Android. Selon Google, le souci le plus sévère est une vulnérabilité critique de sécurité dans le Framework de l’OS. Celle-ci pourrait être exploitée par un tiers malveillant pour mener une attaque à distance, en se servant d’un fichier spécial utilisant le format d’image PNG. Ce fichier serait alors en mesure d’exécuter des instructions nuisibles.
Différents types de risque
Toutes les failles corrigées dans ce patch note n’ont pas le même degré de criticité. Si onze d’entre elles sont jugées « critiques », trente autres sont classées à un rang moindre (leur dangerosité est « élevée ») et la dernière ne constitue qu’un souci « modéré ».
Selon Google, une partie de ces failles peut déboucher sur une élévation injustifiée de privilèges, ce qui permet de donner à un tiers un accès à certaines portions du système normalement inaccessibles. D’autres peuvent exposer des informations sensibles à des regards indiscrets, permettre de contrôler secrètement le smartphone à distance ou bien d’entraver son fonctionnement.
« L’évaluation de la gravité [d’une faille] est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plateforme et du service soient désactivées à des fins de développement ou parce qu’elles ont été contournées avec succès », explique Google.
Comme toujours, l’accès aux derniers correctifs d’Android dépend de la politique de mise à jour de chaque constructeur, mais aussi de l’ancienneté du smartphone.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
