L’équipe Project Zero de Google donne l’alerte sur le manque de réactivité des fabricants Android. Ces derniers attendent trop longtemps avant de réagir, laissant des millions de smartphones vulnérables.
Entre Android et les mises à jour, c’est un peu « je t’aime, moi non plus ». Depuis des années, la question de la fragmentation et du déploiement des mises à jour fait l’objet de critiques. Déploiement trop lent et trop tardif ou carrément absence de mise à jour sur certains appareils ; les maux sont nombreux et les remèdes mettent du temps à venir. Google multiplie pourtant les efforts pour améliorer les choses et rendre son système d’exploitation plus sûr et attirant. On voit également des améliorations chez certains constructeurs, comme Samsung.
La firme de Mountain View identifie régulièrement de nouvelles failles, grâce notamment à son équipe d’experts du Project Zero. Chargée de trouver des vulnérabilités Zero day, elle alerte aujourd’hui sur le manque d’efforts des fabricants Android. Ces derniers sont une fois de plus accusés d’attendre trop longtemps avant de déployer des patchs après la découverte d’une faille. Des millions d’appareils restent alors vulnérables, comme le montre cette vulnérabilité découverte dans le driver (pilote) des puces graphiques Mali.
« Les appareils dotés d’un GPU Mali sont actuellement vulnérables », indique le Project Zero
Deux chercheurs du Project Zero ont en effet découvert l’existence de six failles dans le pilote du GPU « Mali » d’ARM. La première a été évoquée dès le mois de juin 2022 par Maddie Stone avant que Ian Beer, inspiré par le travail de sa collègue, ne découvre cinq failles supplémentaires.
Concrètement, la combinaison de ces failles permet – par injection de code – d’obtenir un accès complet au système en contournant les autorisations Android. Pour des attaquants, l’exploitation de ces failles permet d’accéder aux données d’un utilisateur. Contactée par les spécialistes de Google, ARM a « rapidement » corrigé les problèmes en juillet et août 2022. La pépite britannique en a profité pour proposer une version corrigée du pilote.
Si ARM a rapidement colmaté les brèches, c’est aux constructeurs de diffuser les correctifs sur leurs appareils et c’est là où le bât blesse. Sur leur blog, les chercheurs du Project Zero indiquent avoir « découvert que tous nos appareils de test qui utilisaient Mali sont toujours vulnérables à ces problèmes ». Ils ajoutent que « CVE-2022-36449 [le correctif publié par ARM] n’est mentionné dans aucun bulletin de sécurité ».
Même Google fait partie des mauvais élèves
Un véritable problème alors que les GPU Mali sont présents dans de nombreux appareils Android. Ils sont notamment présents dans des smartphones Samsung, Xiaomi, Oppo et même dans les Pixel… de Google. Même le fabricant américain, derrière l’équipe Project Zero, peine à appliquer les recommandations de ses propres experts en sécurité.
Outre l’alerte concernant cette faille, le message du Project Zero vise surtout les fabricants. « Il est recommandé aux utilisateurs d’appliquer des correctifs aussi rapidement que possible après qu’une version contenant des mises à jour de sécurité soit disponible, [mais] il en va de même pour les fabricants et les entreprises », explique Ian Beer. Et de conclure : « les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible ».
Notons que les travaux de la chercheuse Maddie Stone mettent en évidence la faculté des « pirates informatiques » à se focaliser sur les failles existantes. Elle indique « qu’environ 50 % » des failles 0-day observées au premier semestre 2022 étaient des variantes de vulnérabilités déjà corrigées.
Google Project Zero