Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Stagefright : les correctifs sont incomplets et la faille peut toujours être exploitée

Il y avait pourtant de la bonne volonté

Stagefright : les correctifs sont incomplets et la faille peut toujours être exploitée

Le 15 août 2015 à 08h00

La faille Stagefright a largement rouvert le débat sur la sécurité d’Android, aboutissant d’ailleurs à la mise en place par Google, Samsung et LG de correctifs mensuels de sécurité. Mais les patchs en cours de déploiement sont en fait incomplets et la faille reste complètement exploitable dès lors que certaines valeurs changent dans le code.

Stagefright est le nom d’une bibliothèque dans Android, utilisée pour la lecture de la plupart des formats multimédia. Elle est écrite en C++ et dispose de droits root. Les applications et services peuvent y faire appel pour la lecture des contenus et elle est donc particulièrement importante. Mais une faille trouvée en avril a jeté un voile sur Stagefright car les droits dont elle dispose peuvent avoir des conséquences particulièrement néfastes pour l’utilisateur.

Une réaction collective et pleine de bon sens...

La faille peut être utilisée de plusieurs manières, mais le scénario le plus emblématique était celui d’un MMS contenant un fichier son ou vidéo. Ledit fichier peut renfermer un code spécifique provoquant un dépassement de mémoire tampon et offrant alors des droits administrateur au reste des instructions. Comme indiqué déjà auparavant, les droits sont largement suffisants pour provoquer le téléchargement d’un malware qui pourra accomplir son méfait puis effacer ses traces. L’opération peut très bien être réalisée en pleine nuit, l’utilisateur n’ayant alors au réveil pas conscience que son smartphone a été piratée pendant son sommeil.

Google et Samsung avaient réagi les premiers pour annoncer la distribution de correctifs sur les Nexus 4 à 10 (ainsi que le Nexus) et sur les gammes Galaxy et Note. LG, HTC et Sony avaient suivi peu de temps après sur l’ensemble de leurs smartphones récents. Pratiquement en même temps, Google, Samsung et LG s’étaient d’ailleurs épanchés sur une bonne nouvelle : les mises à jour de sécurité seront distribuées sur un rythme mensuel, de la même manière finalement que Microsoft et ses Patch Tuesdays.

... mais qui n'a pas réglé le problème

Même si cette affaire relançait une fois de plus le débat sur la sécurité d’Android, en particulier sur les modèles plus anciens complètement délaissés par les constructeurs (alors que la faille est active dès la version 2.2), on la pensait clôturée. Ce n’est en fait pas le cas car les patchs distribués ne corrigent que partiellement la faille. Ce qui en langage technique signifie qu’elle n’est finalement pas corrigée du tout.

Initialement, la faille a été découverte par la société Zimperium, qui avait pris les devants et averti rapidement Google en avril. La firme de Mountain View avait publié un patch pour AOSP, basé sur les conseils de Zimperium. Mais qu’il s’agisse de Google, Samsung, HTC, Sony ou encore LG, aucun des correctifs ne couvre tous les cas de figure. Puisque les pirates observent toujours attentivement ce type de développement, ils savent déjà que changer la valeur de certains nombres entiers au sein du code inséré dans le contenu multimédia suffit à contourner le patch.

Cette deuxième découverte vient du chercheur en sécurité Jordan Gruskovnjak, travaillant chez Exodus. Le problème a été trouvé dans le patch fourni initialement par Joshua Drake de Zimperium à Google. Ce patch ne contenait en fait que quatre lignes de code et ne couvraient malheureusement pas tout le spectre de la menace. Dans un email envoyé à Threatpost, Joshua Drake a ainsi indiqué : « Selon des sources publiques, de nombreux soucis supplémentaires ont été découverts depuis que j’ai signalé les bugs dans le traitement du MPEG4. Je pense que nous continuerons à voir des correctifs pour le code de Stagefright dans les mois qui viennent. L’histoire est loin d’être terminée ».

Il n'était pas nécessaire de crier autant sur les toits

Aaron Portnoy, directeur d’Exodus, a indiqué que Google avait été averti de ces problèmes supplémentaires le 7 août, soit deux jours après la présentation de la faille par Joshua Drake à la conférence Black Hat. Dans un billet daté du 31 juillet sur le blog de l’entreprise, Jordan Gruskovnjak s’interrogeait en fait déjà sur l’efficacité réelle du patch proposé, mais n’était alors pas en mesure de prouver ses doutes car il n’avait pas accès au correctif pour son Nexus 5. Durant la semaine suivante, et une fois son smartphone à jour, il a pu créer un fichier MP4 en faisant varier légèrement le code, et a réussi à exploiter à nouveau la faille, avec les mêmes résultats.

Le chercheur reproche d’ailleurs à toutes les entreprises impliquées dans la construction des smartphones d’en avoir trop fait. Les annonces publiques sur la sécurité, l’union autour des patchs mensuels et les communiqués sur le déploiement prochain des correctifs n’ont pu qu’attirer les yeux des pirates qui n’étaient pas encore au courant. De fait, la situation est nécessairement examinée de près désormais par de nombreux acteurs dont il aurait mieux valu qu’ils ne sachent rien.

La remarque est certainement adressée en partie à Zimperium, qui avait évidemment profité de sa découverte pour faire valoir son nom. Ce n’est évidemment pas tous les jours qu’une société peut se targuer d’avoir mis le doigt sur un souci aussi dangereux. Chez Exodus, Aaron Portnoy fait quand même remarquer que le patch initial ne fait pas la différence entre les entiers 32 bits et 64 bits, suggérant que le travail n’a finalement été fait qu’à moitié.

La problématique sur la sécurité d'Android reste entière

Que retenir de cette histoire à rebondissements ? Que les mises à jour actuellement en cours de distribution ne corrigent qu’une partie de Stagefright et que les utilisateurs restent finalement aussi vulnérables qu’au début. Il va donc falloir attendre que d’autres correctifs arrivent, en espérant qu’ils fassent cette fois le tour de la question. Le chercheur Joshua Drake a pourtant bien une idée de ce qu’il suffirait de faire : couper complètement les ponts entre la bibliothèque Stagefright et Internet, Google ayant estimé jusqu'à présent que c'était une bonne idée.

Par ailleurs, ces futurs téléchargements ne résoudront pas le problème de la fragmentation d’Android, jouant ici un rôle particulièrement sérieux. Pas question ici de faire valoir que les services Google, permettant à la plupart des applications de fonctionner, sont mis à jour et disponibles presque partout. C’est bien la version d’Android qui compte, et si la faille peut être exploitée dès la mouture 2.2, les mécanismes qui en ralentissent l’exploitation, tels que l’ASLR (Address Space Layout Randomization), ne sont réellement disponibles que dans la branche 5.X. Et près de 82 % des appareils Android n’en disposent pas.

Commentaires (56)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ce que je comprend c’est que le libre doit prendre exemple sur le propriétaire



<img data-src=" /><img data-src=" />

héhé

votre avatar







lincruste_2_la vengeance a écrit :



Le seul moyen de pression dont dispose Google (et c’est volontaire), c’est d’accorder ou non l’accès aux applications Google qui elles sont soumises à une autorisation. Ils en ont fait usage lorsque Cyanogen Mod voulait tromper les autorisations du Play Store.





Dans la mesure ou 90% des appareils Android on le play store installé de base , et donc avec &nbsp;Google derrière, ils ont tout à fait ce qu’il faut pour imposer leurs règles.

&nbsp;

&nbsp;Le problème c’est que Google en as strictement rien à cirer, tant que les partenaires sont heureux de vendre… la fragmentation, la sécurité c’est un peu le dernier de leurs soucis….


votre avatar

Mouais….. Ce n’est pas le style de MAJ que j’envisageais…

Edit : Une autre possibilité est Cyanogenmod. Faut que je cherche si le Note 3 est supporté.

votre avatar







JoePike a écrit :



ce que je comprend c’est que le libre doit prendre exemple sur le propriétaire



<img data-src=" /><img data-src=" />

héhé





Je propose de réutiliser ce commentaire en sous titre de la prochaine news sur Stagefright (et il y en aura vu le support pathétique des constructeurs)&nbsp;<img data-src=" />

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;<img data-src=" />

&nbsp;


votre avatar

Ca fait trois jours que j’essaie d’installer la MAJ sur ma Nexus 9 et à chaque fois, ça se termine par une belle erreur pendant l’install. Sur Nexus 4, no problem.

Des correctifs réguliers pourraient être sympa…

votre avatar







after_burner a écrit :



Je propose de réutiliser ce commentaire en sous titre de la prochaine news sur Stagefright (et il y en aura vu le support pathétique des constructeurs) <img data-src=" />





Le pire c’est qu’il n’a pas tors dans l’absolu : /



Quand on voit le support proposé par certains gros éditeurs de logiciels propriétaires, y’a de quoi râler quand on voit que la concurrence est à des années-lumières derrière.


votre avatar







philanthropos a écrit :



Le pire c’est qu’il n’a pas tors dans l’absolu : /



Quand on voit le support proposé par certains gros éditeurs de logiciels propriétaires, y’a de quoi râler quand on voit que la concurrence est à des années-lumières derrière.





Dans l’absolu absolu (<img data-src=" />) ce qu’il faudrait c’est que chacun s’occupe de sa partie sans vouloir contrôler ce qui l’arrange alors que c’est pas fait pour (les constructeurs pour le logiciel et les éditeurs pour le matériel) bon à part quand l’un fait l’autre comme Apple ou de toutes façons ils ont les main libres.



&nbsp;&nbsp;

Proprio ou libre on le voit que c’est la pratique qui fait la différence, la faille sur les appareils lenovo dont on parlait hier pourra être corrigée et les utilisateurs pourront faire les correctifs, alors que des smartphones sous androïd ou sous WP vont rester “bloqués” en dehors de certaines marques.

&nbsp;



C’est peut être trop tôt pour analyser le comportement des constructeurs face à des failles de ce type sous androïd, mais ça semble quand même mal parti et leur politique ne changera pas.&nbsp; <img data-src=" />


votre avatar



Que retenir de cette histoire à rebondissements ?





Que les “experts en sécurité” à la recherche de leur quart d’heure de gloire font le bonheur des pirates qui cherchent des vecteurs pour diffuer leur ransonware/malware ?



Non, je m’égare. Un mec prêt à sacrifier un peu la liberté d’expression d’un expert pour gagner un peu de sécurité sur son smartphone ne mérite sans doute ni l’une ni l’autre.

votre avatar

“Sorry, this page doesn’t exist!” <img data-src=" />



En tout cas je savais pas qu’il existait un exploit SMS je veux bien te croire, tout est possible <img data-src=" />

votre avatar







News a écrit :



Puisque les pirates observent toujours attentivement ce type de développement, il leur suffit de savoir qu’en changeant la valeur de certains nombres entiers au sein du code inséré dans le contenu multimédia.





J’ai du mal avec le sens de cette phrase. Ne manquerait-il pas des mots, par le plus grand de tous les hasards ?



Ou c’est moi qui merde ? <img data-src=" />


votre avatar

Quand je dis que ce formulaire de rédaction fait des trucs bizarres <img data-src=" />



http://www.theregister.co.uk/2001/12/06/sms_phone_crash_exploit&nbsp;

Il me fout des caractères juste après “exploit” ; faut les enlever à la mano…

votre avatar

<img data-src=" />

votre avatar



Que retenir de cette histoire à rebondissements&nbsp;?



&nbsp;



Quel le modèle d’Android n’est pas viable ? <img data-src=" />

votre avatar

Non, c’est bien correct. Si, dans le fichier vidéo, l’entier pour la taille des données à lire à une certaine valeur spécifique, les vérifications sur cette valeur entre dans un cas non prévu, exploitable par des pirates

&nbsp;Edit: Non effectivement, il doit manquer des mots dans l’article, mal lu xD

votre avatar







Reznor26 a écrit :



Quel le modèle d’Android n’est pas viable ? <img data-src=" />





Il est viable, il faudrait juste que Google garde la main sur les majs de l’OS.

Mais en tout état de cause, même s’ils le décidaient demain, ça prendrait des paires de mois, voire des années avant de voir un changement visible.





Commentaire de merphémort supprimé le 16/08/2015 à 06:53:59 : Troll ou incitation au troll



Ça devient un running-gag cette phrase à force <img data-src=" />


votre avatar

Je n’ai jamais compris pourquoi Google ne livre pas certaines rustines directement via le Service Play.

Il est mis à jour silencieusement et je suis presque certain qu’il peut aller patcher pas mal de pan de code dépendant de l’AOSP et non des constructeurs.

votre avatar

a noter que pendant la conférence au BlackHat de Google sur l”état de la sécurité d’Android”, Google a annoncé qu’ils allaient pousser une update pour ne plus “automatiquement” afficher les images des SMS :

&nbsp;

&nbsp;

&nbspdocs.google.com Google

&nbsp;

&nbsp;Ce qui sans corriger l’anomalie, rajoute au moins un petit niveau de sécurité.&nbsp;

&nbsp;

&nbsp;Maintenant il faut juste regarder l’étendue de l’attaque … et la réaction des Constructeurs / opérateurs …&nbsp;

votre avatar

Il n’est pas si simple de corriger le code dans une ROM par un programme … j’ai envie de dire, encore heureux, sinon ça veux dire que un programme qui récupère les droits root a un chemin pour s’insérer dans la Rom&nbsp;<img data-src=" />

&nbsp;

&nbsp;Mais ils l’ont fait avec les WebView =&gt; la rom appelle une librairie qui est mise à jour par le play store. Il se pourrait qu’ils étendent cette fonctionnalité …

votre avatar

@ atomusk : heureusement qu’on est pas Vendredi <img data-src=" />&nbsp;

votre avatar



Que retenir de cette histoire à rebondissements ?





Que les fabricants de téléphone portable n’auraient jamais du s’improviser éditeurs de système d’exploitation.

C’est un métier à part entière, et ils sont totalement incompétents sur le sujet.



Tant que l’OS ne sera pas totalement dissocié du matériel avec son éditeur qui a la pleine maîtrise dessus, les smartphones resteront de véritables nids à failles et problèmes de sécurité.



Mais bon, les constructeurs corrigent les failles à leur façon : un patch à 400 boules pour le modèle n+1… <img data-src=" />

votre avatar







[_Driltan_ a écrit :



]Vive les bons vieux 3310 ! <img data-src=" />

Le serpent ! <img data-src=" />





Euh… Mon épouse en a un… Clair que du côté MMS, cela calme!&nbsp; <img data-src=">


votre avatar







philanthropos a écrit :



Libre ne veut pas dire “gratuit et réutilisable sans demander”, ça veut uniquement dire que les sources sont accessibles (et encore, ce n’est pas le cas de la totalité d’Android).&nbsp;

&nbsp;





En fait si, c’est exactement ce que veux dire “libre” : l’utilisation libre et sans rendre de compte des sources, avec ou sans redistribution des modifications selon les cas.&nbsp;<img data-src=" />


votre avatar

android est sous licence Apache&nbsp;, &nbsp;donc oui, c’est gratuit, et possible de distribuer comme tu veux

&nbsp;

&nbsp;Par contre, ce que google fournit au dessus d’android, pour s’interfacer avec son cloud est une licence fermé (hangout, google map, google calendar, photo etc)

&nbsp;C’est l’utilisation de ces services par dessus d’android que google soumet à contrat avec les OEM. Tu peux dire que ce contrat est laxiste sur les contreparties des OEM, et que Google devrait être comme microsoft pour forcer les OEM à mettre à jour ( mais on ne peut pas dire que les OEM WP8 aient vraimentjoué le jeu)

&nbsp;

votre avatar







JoePike a écrit :



ce que je comprend c’est que le libre doit prendre exemple sur le propriétaire



<img data-src=" /><img data-src=" />

héhé



Oui donc tu n’as pas compris cet article





zeebiXx a écrit :



Dans la mesure ou 90% des appareils Android on le play store installé de base , et donc avec &nbsp;Google derrière, ils ont tout à fait ce qu’il faut pour imposer leurs règles.

&nbsp;

&nbsp;Le problème c’est que Google en as strictement rien à cirer, tant que les partenaires sont heureux de vendre… la fragmentation, la sécurité c’est un peu le dernier de leurs soucis….





&nbsp;Encore faux. Google bosse sur son OS, patche rapidement les exploits et paye grassement les hackers qui l’aident. Le reste c’est du fantasme de partisan. C’est comme reprocher aux développeurs du kernel linux de ne pas se soucier des mises à jours de ton GPS, c’est simplement débile.


votre avatar

Sauf que je répondais à quelqu’un et pas à l’article

et toi tu devrais aller t’acheter quelques grammes d’humour, tu verras ça ira mieux après

<img data-src=" />

votre avatar







lincruste_2_la vengeance a écrit :



….

Google bosse sur son OS, patche rapidement les exploits et paye grassement les hackers qui l’aident.

…..





J’avais pas lu ça <img data-src=" />

Mais bon une faille découverte en avril et pas réparée mi-aout ( et ce sur un appareil maison)

euh… comment dire … nous n’avons pas les même valeurs sur le mot “rapidement”

<img data-src=" />


votre avatar

En relisant la news je m’aperçois que HTC devrai avoir déployé un correctif mais je n’ai rien sur mon M8.

votre avatar







JoePike a écrit :



J’avais pas lu ça <img data-src=" />

Mais bon une faille découverte en avril et pas réparée mi-aout ( et ce sur un appareil maison)

euh… comment dire … nous n’avons pas les même valeurs sur le mot “rapidement”

<img data-src=" />







C’est pas Google qui pointe du doigt quand une faille n’est pas corrigée au bout de 3 mois ?


votre avatar







SebGF a écrit :



C’est pas Google qui pointe du doigt quand une faille n’est pas corrigée au bout de 3 mois ?







Et Google n’est jamais venu pleurer que la faille à été rendu publique, que c’est irresponsable, que les gens sont des méchants qui n’aiment pas leur société.



Depuis avril, Google cherche un correctif, à choisi un correctif qui etait validé par le chercheur qui a découvert la faille, mis en place un système de déploiement de patch avec les constructeurs qui bypasse les opérateurs, lancé le déploiement qui est opérationnel pour un grand nombre de devices aujourd’hui il me semble.



En 3 ou 4 mois, c’est pas ce que j’appelle chômer, contrairement à MS qui est infoutu de délivrer un patch en mois de 6 mois pour IE.



Le coup de pas de chance de cette histoire, c’est que des failles de ce genre, la lib Stagefrigth en contient manifestement quelques uns et pour bien connaître les codecs vidéos, ça doit être super tricky de les trouver. On verra comment Google va réagir et quelle solution ils vont retenir.


votre avatar

Non, Google donne une date de full disclosure au bout de 3 mois et s’y tient, ici il y avait un “full disclosure” à la Black Hat, et elle a été cassée quelques semaines avant.

&nbsp;

Mais du coup, Google pointe du doigt les OEM qui font le boulo et de l’autre coté pointent du doigt ceux qui ne l’ont pas fait.&nbsp;

&nbsp;

&nbsp;Je veux bien que “Android” a des souci avec la sécurité, mais foutre tout sur le dos de Google c’est quand même gros&nbsp;<img data-src=" />

&nbsp;

&nbsp;C’est comme si tu Sony ne corrigeait pas une faille de sécurité dans le noyaux Linux et qu’on foutait ça sur le dos de “Linux”.

&nbsp;

&nbsp;Que Google devrait faire quelque chose, c’est une chose, mais les OEM ont quand même leur part de responsabilité non ?&nbsp;

&nbsp;Apres je veux bien que ça soit plus facile de mettre ça sur le dos du grand méchant Google&nbsp;<img data-src=" />

votre avatar

T’as du recevoir Lollipop récemment

votre avatar







philanthropos a écrit :



PS : Android est libre, oui, mais sous licence particulière, on ne fait pas nawak avec sans rendre des compte ;)

Libre ne veut pas dire “gratuit et réutilisable sans demander”, ça veut uniquement dire que les sources sont accessibles (et encore, ce n’est pas le cas de la totalité d’Android).&nbsp;





&nbsp;

&nbsp;Pour compléter ce qui a été dis avant très justement, preuve que “tu fais ce que tu veux avec les source de AOSP” :&nbsp;




  • cyanogen qui est un “fork” d’Android&nbsp;

    &nbsp;- amazon et son fork android (qui n’a pas eut a demander l’aval de Google)

    &nbsp;- BlackBerry avec son Alien Dalvik pour faire tourner les APK android&nbsp;

    &nbsp;- WindowsMoible 10, qui a sans doute pu taper dans le code source AOSP pour pouvoir faire tourner des APK sur Android&nbsp;

    &nbsp;

    &nbsp;

    Et je rajouterai Samsung &nbsp;qui a été capable d’intégrer le support de son stylet pour la Galaxy Note, ce qui, à mon avis, n’a pas du sans aller taper un peu dans le code d’Android pour l’intégrer … support officiel du stylet qui n’arrivera que bien plus tard sur Android.

    &nbsp;

    Les seules contraintes que je connais (si tu en as d’autres, je veux bien une source) pour faire d’un “fork”, un “Android”, c’est la compatibilité avec “Android” en utilisant leurs outils de compatibilité, la présentation des icones des services Google Android ET faire partie de l’Open Handset Alliance (donc par exemple s’engager à ne pas promouvoir un fork d’AOSP qui ne serait pas compatible avec Android )


votre avatar

*





BREAK





&gt;&gt; en attendant les correctifs, lancez votre application de messagerie SMS, allez dans la section des messages MMS, et décochez l’option “récupération automatique”.

Le but du jeu étant bien sur de virer les MMS reçus de personnes inconnues sans les ouvrir.

J’ai reçu le conseil via avast mobile security.





FIN DU BREAK …. vous pouvez reprendre vos discussions poilues intéressantes.

votre avatar

A noter que comme j’ai dit plus haut, cette modification sera poussée automatiquement sur une update de Hangout.

votre avatar

Je t’invite à lire mon commentaire #37 qui va justement dans ce sens.

votre avatar

m’en fout je suis sur le pont&nbsp;<img data-src=" />

votre avatar

c’est vérolé le samedi?<img data-src=" />

votre avatar

<img data-src=" />

votre avatar

Vive les bons vieux 3310 ! <img data-src=" />

Le serpent ! <img data-src=" />

votre avatar



(…)aboutissant d’ailleurs à la mise en place par Google, Samsung et LG de correctifs mensuels de sécurité(…)

&nbsp;Heu… Ah ! Je n’ai pas vu cette màj sur mon G4…

votre avatar

Parce qu il ny aura jamais de mises a jour… Idem sur mon G2.



Du blabla de commercial. Tant que google ne prendra pas la peine d obliger les mises a jour on est foutus.



A prendre exemple sur apple ou microsoft.

votre avatar

Sauf que Google n’a absolument rien à dire, beaucoup leur font porter le chapeau de la situation, mais c’est là qu’on peut différencier les entreprises qui prennent leurs clients pour des pigeons, de celles qui ne le font pas.



Le système de base est libre, lesdites entreprises n’ont qu’à se servir pour récupérer le code nécessaire aux mises à jour des appareils, et si elles ne le font pas, c’est de leur responsabilité, pas celle de Google !



Tout ce qui est intégré par Samsung, LG, HTC, Sony, etc… C’est basé sur Android oui, mais ce n’est pas de l’Android pur et dur, chacun y vont de leurs correctifs, leurs personnalisations, leurs modifications de kernel, etc… S’ils proposaient de l’Android pur et dur, sans bidouilles ni surchouche, ça serait déjà un grand pas, facilitant grandement les mises à jour.



C’est donc auxdites entreprises de prendre exemple sur Apple et Microsoft, pas à Google, le système étant par définition libre, ils n’y a rien à imposer, la loi du marché est censée faire le reste, si les clients ne sont pas contents, ils n’ont qu’à pas acheter… Si ça devait arriver, les entreprises auraient vite fait de réagir !

votre avatar

Apple dans ce cas là ! Pour le moment Microsoft n’a pas encore prouvé qu’il poussait seul les mises à jour puisque W10 mobile n’est pas encore sorti.

votre avatar







bingo.crepuscule a écrit :



Sauf que Google n’a absolument rien à dire, beaucoup leur font porter le chapeau de la situation, mais c’est là qu’on peut différencier les entreprises qui prennent leurs clients pour des pigeons, de celles qui ne le font pas.



Le système de base est libre, lesdites entreprises n’ont qu’à se servir pour récupérer le code nécessaire aux mises à jour des appareils, et si elles ne le font pas, c’est de leur responsabilité, pas celle de Google !



Tout ce qui est intégré par Samsung, LG, HTC, Sony, etc… C’est basé sur Android oui, mais ce n’est pas de l’Android pur et dur, chacun y vont de leurs correctifs, leurs personnalisations, leurs modifications de kernel, etc… S’ils proposaient de l’Android pur et dur, sans bidouilles ni surchouche, ça serait déjà un grand pas, facilitant grandement les mises à jour.



C’est donc auxdites entreprises de prendre exemple sur Apple et Microsoft, pas à Google, le système étant par définition libre, ils n’y a rien à imposer, la loi du marché est censée faire le reste, si les clients ne sont pas contents, ils n’ont qu’à pas acheter… Si ça devait arriver, les entreprises auraient vite fait de réagir !





&nbsp; C’est drôle comment certains peuvent défendre l’indéfendable.


votre avatar







bingo.crepuscule a écrit :



Sauf que Google n’a absolument rien à dire, beaucoup leur font porter le chapeau de la situation, mais c’est là qu’on peut différencier les entreprises qui prennent leurs clients pour des pigeons, de celles qui ne le font pas.



Le système de base est libre, lesdites entreprises n’ont qu’à se servir pour récupérer le code nécessaire aux mises à jour des appareils, et si elles ne le font pas, c’est de leur responsabilité, pas celle de Google !



Tout ce qui est intégré par Samsung, LG, HTC, Sony, etc… C’est basé sur Android oui, mais ce n’est pas de l’Android pur et dur, chacun y vont de leurs correctifs, leurs personnalisations, leurs modifications de kernel, etc… S’ils proposaient de l’Android pur et dur, sans bidouilles ni surchouche, ça serait déjà un grand pas, facilitant grandement les mises à jour.



C’est donc auxdites entreprises de prendre exemple sur Apple et Microsoft, pas à Google, le système étant par définition libre, ils n’y a rien à imposer, la loi du marché est censée faire le reste, si les clients ne sont pas contents, ils n’ont qu’à pas acheter… Si ça devait arriver, les entreprises auraient vite fait de réagir !







Google produit l’OS et les contrats qu’ils font signer aux constructeurs, ils ont donc parfaitement leur mot à dire sur la situation ; dans le cas où la faute vient d’eux je précise.

Après si c’est à cause d’une merde pré-installée par les constructeurs, là, en effet, Google peut bien s’en laver les mains.



PS : Android est libre, oui, mais sous licence particulière, on ne fait pas nawak avec sans rendre des compte ;)

Libre ne veut pas dire “gratuit et réutilisable sans demander”, ça veut uniquement dire que les sources sont accessibles (et encore, ce n’est pas le cas de la totalité d’Android).



Tu vas dire que je pinaille, mais la terminologie est importante dans ces cas là, sinon on en arrive à des quiproquo un peu marrants parfois ^^







Mr.Nox a écrit :



Apple dans ce cas là ! Pour le moment Microsoft n’a pas encore prouvé qu’il poussait seul les mises à jour puisque W10 mobile n’est pas encore sorti.







Il parlait dans un cas général.

On a beau dire ce qu’on voudra, au niveau du suivis logiciel en général, Microsoft est clairement le Roi dans l’arêne et personne n’arrive à sa cheville au vu du travail effectué.


votre avatar

Aucune MAJ depuis bien longtemps sur mon Note 3…

votre avatar

Pourtant, il y en bien une<img data-src=" />

votre avatar







[_Driltan_ a écrit :



]Vive les bons vieux 3310 ! <img data-src=" />

Le serpent ! <img data-src=" />





Chaque époque ses soucis… Mais la méthode sms/mms semble avoir la vie longue ;)

http://www.theregister.co.uk/2001/12/06/sms_phone_crash_exploit/&nbsp;


votre avatar







philanthropos a écrit :



PS : Android est libre, oui, mais sous licence particulière, on ne fait pas nawak avec sans rendre des compte ;)

Libre ne veut pas dire “gratuit et réutilisable sans demander”, ça veut uniquement dire que les sources sont accessibles (et encore, ce n’est pas le cas de la totalité d’Android).



Tu vas dire que je pinaille, mais la terminologie est importante dans ces cas là, sinon on en arrive à des quiproquo un peu marrants parfois ^^&nbsp;



C’est faux, n’importe quel constructeur peut modifier AOSP et en équiper n’importe quelle bricole sans rendre de compte à Google. Tu ne pinailles pas, tu fabules.


votre avatar

Le seul moyen de pression dont dispose Google (et c’est volontaire), c’est d’accorder ou non l’accès aux applications Google qui elles sont soumises à une autorisation. Ils en ont fait usage lorsque Cyanogen Mod voulait tromper les autorisations du Play Store.

votre avatar







lincruste_2_la vengeance a écrit :



Le seul moyen de pression dont dispose Google (et c’est volontaire), c’est d’accorder ou non l’accès aux applications Google qui elles sont soumises à une autorisation. Ils en ont fait usage lorsque Cyanogen Mod voulait tromper les autorisations du Play Store.





Le seul peut être mais ça a un poids énorme.


votre avatar

Alors je vais y répondre&nbsp;<img data-src=" />&nbsp;(je l’avais vu et comptais y répondre, mais j’ai oublié).

&nbsp;

Sur le principe, je suis à 100% d’accord avec toi, maintenant le truc c’est que c’était le “concept” d’Android, leur donner une base “solide”, et si ils le désirent créer de “l’innovation” avec.

&nbsp;

J’en ai déjà parlé plus haut, mais la gestion du stylet sur le Galaxy Note est brillante ! et elle a créée la “mode” de la phablet, que même Apple a du suivre tellement l’attente des utilisateurs était grande.

&nbsp;



Bon, après on est d’accord que c’est la seule “success story” dont Android peut prétendre être la source&nbsp;<img data-src=" />

&nbsp;




  • Les tablettes avec dock clavier, même si repris par différents OEM et par extention, sur les tablettes Microsoft, sont, de mon point de vue, un bide (et pourtant j’aime tellement le concept)

    &nbsp;

  • le “téléphone qui se dock” dans la tablette est un bide&nbsp;

    &nbsp;

  • le téléphone avec 2 écrans dont e-paper n’arrive pas&nbsp;

    &nbsp;

    &nbsp;- le Samsung Edge … je sais pas si c’est un bide, mais je trouve le concept con&nbsp;<img data-src=" />

    &nbsp;

    là sur le coup, c’est tout ce que je vois … &nbsp;

    &nbsp;

    &nbsp;En gros ce que je veux dire, c’est que ce “modèle” permet de la créativité chez les OEM, avec des concepts qui percent ou pas, mais au moins il y a plus de diversité que 3 modèles de taille d’iPhone, ou qu’une pluie de modèles avec différents capteur photo/taille d’écran/résolution sur Windows Phone&nbsp;<img data-src=" />

votre avatar

ps : Marshmallow it is !!&nbspyoutube.com YouTube

votre avatar

Là dessus je suis d’accord, les fabricants ont fait un très bon travail de personnalisation et le support a permis pas mal d’innovations.

Mais pas de suivi derrière, ça craint… A cause de ça on se retrouve avec des passoires et un panel de versions différentes qui créent plus du bordel qu’autre chose.

Les fabricants se sont improvisés éditeurs d’OS et ça se voit que c’est pas leur métier… Ils sont dans leur logique industrielle de base : amélioration = modèle n+1



C’est tout l’archi du système qui est à revoir si on veut avoir un OS capable d’être mis à jour par l’éditeur sans avoir besoin d’attendre que l’intégrateur bouge son cul ou ne propose le patch que sous forme du modèle n+1.



Franchement, comment auriez-vous imaginé l’informatique d’aujourd’hui si il y a quinze ans, il fallait attendre que ce soit le constructeur du PC et le FAI qui autorise la diffusion des mises à jour de Windows ? Tout le monde a chialé à l’époque de Vista parce qu’il y avait un prérequis de base beaucoup plus élevé que XP “gnagna faut racheter un PC blabla”, et aujourd’hui ça ouvre le portefeuille et l’anus en choeur pour acheter un smartphone à 600 boules tous les 6 mois.



Le smartphone est un support qui a de très nombreuses capacités comme tu le dis toi-même, mais ses promoteurs n’ont pas d’autre ambition que d’en faire un jouet de luxe jetable. Et ça, c’est nul.

votre avatar

sur ce point, on est d’accord, Google “doit” trouver une solution pour faciliter la publication, à minima, de patch de sécurité, mais idéalement, des updates complètes …&nbsp;

&nbsp;

&nbsp;Avec un peu de chance le fiasco de StageFright mettra ce point en haut de la liste des choses à faire pour les futures versions&nbsp;<img data-src=" />

votre avatar

J’ai un tel “nu”. La MAJ 5.0 elle commence à dater.

Stagefright : les correctifs sont incomplets et la faille peut toujours être exploitée

  • Une réaction collective et pleine de bon sens...

  • ... mais qui n'a pas réglé le problème

  • Il n'était pas nécessaire de crier autant sur les toits

  • La problématique sur la sécurité d'Android reste entière

Fermer