Certains OEM Androïdes mentent effectivement sur les mises à jour de sécurité en changeant les dates sans ajouter de correctifs

Les mises à jour sur Android ont longtemps été un désastre. Malgré les efforts de Google pour améliorer la sécurité et faciliter les mises à jour pour tout le monde, il est rare qu’un OEM puisse réellement suivre tout ce que Google fait. D’après un nouveau rapport, cependant, certains viennent de dire qu’ils sont à jour, sans vraiment faire le travail…

Un rapport de WIRED cite des chercheurs du Security Research Lab qui ont passé deux ans à surveiller les mises à jour de sécurité Android

Lors d’un prochain événement à Amsterdam, ils ont l’intention de présenter leurs conclusions, et c’est assez inconfortable. Depuis un certain temps, Google a mis au point des correctifs de sécurité mensuels pour le système d’exploitation Android, scellant les fissures sur les problèmes dans l’OS. Pour permettre aux utilisateurs de vérifier facilement leur niveau de sécurité, Android a ajouté une section pratique dans les paramètres pour identifier le niveau de patch en fonction de la date. Ces chercheurs de SRL ont pris le temps de vérifier « minutieusement » que les correctifs appliqués sur un dispositif correspondaient bien à ces dates.

En bref, les OEMs Android ont échoué ici. Dans de nombreux cas, un « patch gap » a été trouvé, avec des dispositifs indiquant une date spécifique pour les mises à jour de sécurité, mais manquant « jusqu’à une douzaine » de patchs de cette mise à jour.

SRL a testé 1 200 appareils d’une douzaine de fabricants pour recueillir ces résultats en 2017. Les téléphones venaient de Google, Samsung, Motorola, HTC, ZTE, TCL, et beaucoup d’autres.

Bien que la plupart des navires amiral n’aient pas eu beaucoup de mal ici, à peu près tout le monde était un coupable. Les propres Pixel 2 et Pixel 2 XLdevices de Google étaient, bien sûr, sûrs, mais il manquait dans une certaine mesure des patchs, même ceux de Sony et Samsung.Le tableau ci-dessous décompose un peu les chiffres.

Le problème ici n’est pas seulement une question de négliger les mises à jour, cependant. Il est extrêmement (ennuyeux) courant que les OEM ne mettent pas à jour leurs appareils pendant un certain temps, puis qu’ils les mettent à jour plus tard. Au contraire, ce qui se passe dans certains cas, c’est que les OEM modifient la date de mise à jour de sécurité sur l’appareil sans réellement installer les correctifs associés, mentant effectivement aux clients.

Apparemment, plusieurs fournisseurs « n’ont pas installé un seul correctif mais ont changé la date du correctif de plusieurs mois ». Les chercheurs ont décrit cela comme une  » tromperie délibérée « , mais ils ont heureusement constaté qu’elle n’était pas très courante.

Dans la plupart des cas, les chercheurs croient simplement que ces correctifs manquants manquent accidentellement dans les mises à jour, ce qui est quelque peu compréhensible car il y a beaucoup de correctifs dans chaque mise à jour. Une autre cause possible pourrait être le chipset d’un périphérique, les périphériques alimentés par MediaTek manquant en moyenne 9,7 correctifs, alors que Qualcomm n’était qu’à 1.1.

Cependant, il s’agit encore d’un problème assez important, car il est presque impossible de déterminer le niveau de sécurité d’un appareil. Pour remédier à cela, SRL publie une mise à jour de son application Android, Snoopsnitch, qui vérifie que votre appareil a effectivement autant de correctifs qu’il est censé en avoir.