Google annonce la résolution de 29 vulnérabilités pour le système d'exploitation Android. Il ne reste plus qu'à mettre à jour son smartphone, dès que le patch sera mis à disposition par les constructeurs.

C’est assurément l’un des bulletins de sécurité dédiés à Android les plus modestes depuis le début de l’année. Mardi 8 octobre, Google a présenté la liste des vulnérabilités qui bénéficient d’une correction avec la nouvelle mise à jour mensuelle de son système d’exploitation mobile. En tout, 29 failles sont traitées. C’est une de plus par rapport à janvier, et sept par rapport à juin.

Fondamentalement, le bulletin émis ce mois-ci par Google n’est pas différent des autres qui ont été rendus publics : la firme de Mountain View n’a pas connaissance d’un usage malveillant de l’une de ces brèches. Elle rappelle également que ses partenaires ont été avertis au moins un mois avant la parution de ce compte-rendu, afin qu’ils aient assez de temps pour colmater les brèches.

Des correctifs pour Android 10

Dans le détail, Google liste deux bugs modérés (qui ont la particularité de ne concerner que Android 10 — AOSP 10), seize défauts de conception graves et onze failles critiques. Outre Android 10, la totalité des dernières branches du système d’exploitation est concernée : Nougat (7.x), Oreo (8.x) et Nougat (9.x). Android 10 est également concerné pour une troisième vulnérabilité, jugée sérieuse cette fois.

Il est également à noter que la majorité des soucis relevés concerne des composants fournis par Qualcomm (18).

Pour déterminer la gravité d’une faille, Google évalue « l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté », s’il n’existe aucune mesure d’atténuation ou si elles ont été désactivées ou contournées. Dans la hiérarchisation de la dangerosité des failles, le rang critique est le plus élevé. Viennent ensuite les seuils haut et modéré.

Des smartphones commercialisés par Xiaomi qui fonctionnent avec Android.

Ces défauts de conception logicielle, s’ils sont exploités, peuvent provoquer différents incidents : un pirate peut bénéficier d’une élévation injustifiée de privilèges, ce qui lui permet alors d’accéder à des sections sensibles du système d’exploitation, qui sont normalement inaccessibles. L’assaillant peut aussi prendre le contrôle du smartphone à distance, entraver son bon fonctionnement ou bien récupérer des données personnelles à l’insu du mobinaute.

Dans ces conditions, on comprend aisément pourquoi l’importance des mises à jour — en plus, octobre est le mois dédié à la cybersécurité ! –. Malheureusement, dans le monde des smartphones, les mobinautes n’ont pas d’autre choix que d’attendre que les constructeurs se remuent pour pousser les derniers correctifs de sécurité. S’il y a bien sûr des fabricants exemplaires, il y a aussi des cancres de la sécurité.

Partager sur les réseaux sociaux