Alerte : Android expose des vulnérabilités dangereuses, aussi risquées que les zero-days !
L’écosystème Android est confronté à un problème de longue date qui augmente la valeur et l’utilisation des failles divulguées sur de longues périodes. Google a récemment publié son rapport annuel sur les vulnérabilités du jour 0, mettant en évidence ce problème et soulignant son impact sur la sécurité des utilisateurs.
Le rapport de Google met en évidence le problème des jours n dans Android, qui fonctionnent comme des jours 0 pour les acteurs de la menace. Ces jours n sont des vulnérabilités connues du public, avec ou sans correctif disponible. Les attaquants peuvent donc exploiter ces failles pendant des mois, même si un correctif a été publié.
Ce problème découle de la complexité de l’écosystème Android, avec des écarts importants dans les intervalles de mise à jour de sécurité entre les différents modèles d’appareils, des périodes d’assistance courtes, des confusions en matière de responsabilité, et d’autres problèmes. Ces lacunes entre les fournisseurs et les fabricants permettent aux vulnérabilités connues du public de fonctionner comme des 0-days, car l’utilisateur n’a pas de correctif et son seul moyen de défense est de cesser d’utiliser l’appareil.
Des exemples concrets
En 2022, plusieurs problèmes de ce type ont affecté Android. Par exemple, la vulnérabilité CVE-2022-38181 dans le GPU ARM Mali a été signalée à l’équipe de sécurité d’Android en juillet 2022, mais elle a été corrigée par ARM en octobre 2022. Cependant, la mise à jour de sécurité d’Android n’a intégré ce correctif qu’en avril 2023, soit six mois après qu’ARM a résolu le problème de sécurité.
Deux autres exemples sont les vulnérabilités CVE-2022-3038 et CVE-2022-22706. La première a été corrigée en juin 2022, mais n’a pas été corrigée dans les navigateurs des fournisseurs basés sur des versions antérieures de Chrome. La seconde a été corrigée par le fournisseur en janvier 2022, mais la mise à jour de sécurité d’Android a adopté le correctif seulement en juin 2023, enregistrant un retard de 17 mois.
Ces retards dans l’application des correctifs rendent les jours n aussi précieux que les jours 0 pour les acteurs de la menace. Les détails techniques des vulnérabilités sont déjà publiés, ce qui facilite leur exploitation par les attaquants. De plus, le résumé de l’activité 2022 de Google montre que les bogues de type « zero day » sont en baisse par rapport à l’année précédente, mais les variantes de bogues déjà signalés représentent plus de 40 % des vulnérabilités zero-day découvertes.
Conclusion
Il est essentiel de prendre en compte ces problèmes de sécurité dans l’écosystème Android. Les écarts entre les fournisseurs et les fabricants doivent être réduits pour assurer une meilleure protection des utilisateurs. Les mises à jour de sécurité doivent être appliquées rapidement et de manière cohérente sur tous les modèles d’appareils. Les acteurs de l’industrie doivent travailler ensemble pour résoudre ces problèmes et garantir un environnement Android plus sûr pour tous.
Commentaires
Laisser un commentaire