L’équipe Android Security & Privacy a présenté vendredi soir une nouvelle initiative destinée à la protection des smartphones non-Pixel, autrement dit ceux des constructeurs tiers. Nommée APVI, pour Android Partner Vulnerability Initiative, elle permet à Google d’avertir les OEM de problèmes découverts sur leurs appareils, et non plus uniquement de ceux dans Android.
Actuellement, Google collecte les failles signalées via ses programmes de récompense. Les modifications apportées au code sont ensuite diffusées dans Android Open Source Project (AOSP) à travers les Android Security Bulletins (ASB), que l’on peut lire tous les mois. Ces bulletins doivent être ensuite adoptés par les OEM.
APVI vient compléter ce processus. Google donne deux exemples. Dans le premier, un service tiers responsable des mises à jour système exposait une API aux privilèges élevés, tout en cherchant un mot de passe inscrit dans le code. Dans le deuxième, un navigateur pouvait exposer les identifiants des utilisateurs.
Via ce programme, Google communique directement avec l’entreprise ou les développeurs concernés. Une position plus active donc, dont les clients ne se plaindront pas.
La sécurité des appareils Android dépend toujours en bonne partie du bon vouloir des constructeurs tiers. Actuellement, un smartphone sous Android reçoit la plupart du temps deux ans de mises à jour majeures, trois dans de rares cas. Le suivi des bulletins de sécurité est souvent irrégulier, beaucoup n’en traitant qu’un sur deux ou trois.
Commentaires (5)
#1
Le problème d’android c’est les MAJ,
Imaginons, on prends un smartphone haut de gamme au hasard, il n’est probablement plus mis à jour 2 ou 3 ans plus tard. Est ce qu’il est périmé ? Pour le fabriquant, oui, pour le consommateur, certainement pas.
Si on regarde uniquement les OS et leurs fonctionnalités similaires, la grande force d’apple est de proposer des mises à jour pendant 5⁄6 ans selon les produits.
Pour certains android, heureusement que le bootloader reste dévérouillable. Sinon bonjour les maj qui n’arrivent plus.
Exemple: LG G6, téléphone tout à fait encore actuel, abandonné par le sur android 9. Mis à jour mensuellement par des devs avec Havoc OS, android 10 et mises à jour de sécurité.
#2
Et sur les Pixel, Google lui-même ne s’astreint qu’à 3 années de mise à jour…
#3
Au final, le service est certainement bien foutu côté technique mais aucun intérêt évident n’ira pousser les constructeurs à y participer. On pourra tout au plus espérer la participation de quelques acteurs en essayant d’en faire un différenciateur.
#4
Sans entrer dans le débat iOS vs Android, c’est pour cette raison que j’ai re-switch vers iOS. Dégouté de voir mon Galaxy S9 acheté day 1 ne recevoir que 2 mises à jour majeurs + 1 an sécurité.
A coté de ca, chez iOS, c’est mini 5 ans, features et sécu + encore 1 ou 2 ans de patch sécu des failles majeurs.
#5
Apres concernant Android, il faut pas juste limiter aux mises à jour systèmes qui effectivement sont toutes limitées dans le temps et plus ou moins catastrophiques en fonction du constructeur (voir opérateur quand on fait la bêtise d’acheter une version opérateur).
Ne pas oublier que plein de composants applicatifs sont mis à jour via le playstore :
Sans oublier qu’elles sont toutes remplaçables par des applications non fournies par le constructeur (avec limitation parfois, comme pour la caméra parfois, n’ayant pas forcément accès aux DSP spécialisés ou autres trucs un peu spécifique d’un appareil)
Alors qu’il me semble que toutes ses applications de bases sont mises à jour chez la pomme via les maj systèmes et plusieurs ne peuvent pas être remplacées par une alternative (ca se décontract un peu du coté du navigateur, client mail etc avec possibilité de choisir par défaut des apps concurrentes mais ca reste quand meme ultra controlé …)
Ne pas oublier les Google Play Services mis à jour silencieusement régulièrement et apportant des fonctionnalités ou correctif, pas forcément le plus gros exemple qui soit mais les fonctionnalités de contact tracing (que n’utilise pas stopcovid mais passons), sont passées par les play services contrairement à la pomme (maj système iOS 13.7).
Enfin, conscient de ces galères de maj system (y compris pour les patchs de sécurité mensuels), Google extrait de plus en plus de composants bas niveau des maj système pour pouvoir les patcher au plus vite si besoin, voir le projet mainline (https://www.xda-developers.com/android-project-mainline-modules-explanation/)
Autre truc du style : la capacité à mettre à jour des pilotes graphiques via le playstore (https://www.xda-developers.com/android-o-users-will-update-graphics-drivers-through-play-store/), Qualcomm a commencé à s’y mettre sur ses GPU 2020 haut de gamme (865/765/765G par exemple) : https://www.anandtech.com/show/15665/qualcomm-to-update-smartphone-gpu-driver-every-quarter-develops-gpu-inspector-tool