Dans son quatrième bilan annuel des 0-days, Google s'inquiète de l'écart entre les correctifs Android déployés par les différents fabricants de smartphones, un problème particulièrement préoccupant en 2022.

Comme vous le savez probablement, chaque fabricant de smartphones met un certain temps avant de corriger un problème de sécurité, puisque tous ne déploient pas le même nombre de mises à jour, et celles-ci n’arrivent pas au même moment. Le problème, c’est que certains d’entre eux mettent beaucoup trop de temps à combler certaines failles, d’après un nouveau rapport de Google.

Le “patch gap” désigne le délai entre le moment où une faille de sécurité est corrigée par un fournisseur en amont (comme Google) et le moment où le fabricant en aval (comme les fabricants d'appareils) publie le correctif sur ses propres smartphones pour que les utilisateurs puissent l'appliquer. Ce décalage expose les utilisateurs à des attaques potentielles, car aucun correctif n'est immédiatement disponible.

Lire également – Votre smartphone est peut-être en danger, des failles critiques repérées sur les puces Samsung Exynos

Samsung et d’autres fabricants mettent trop de temps à déployer certaines mises à jour

Si les écarts de correctifs existent entre les plateformes, Google a constaté qu'ils étaient plus fréquents et plus longs sur Android. Dans deux exemples cités l'année dernière, une vulnérabilité du GPU ARM Mali a par exemple mis six mois à être corrigée par Android après sa découverte initiale par ARM.

En effet, une vulnérabilité du pilote du noyau du GPU Mali d'ARM a été corrigée par ARM en janvier 2022, mais a été exploitée en novembre de la même année en tant que vulnérabilité de type 0-day. De son côté, Samsung a aussi mis pas moins de 7 mois pour corriger une faille dans son application Samsung Internet, car celui-ci utilisait une version de Chromium vulnérable.

Google insiste sur la nécessité d'accélérer le processus de livraison des correctifs et des mesures d'atténuation aux utilisateurs afin d'assurer leur protection. Une action rapide est essentielle pour empêcher les attaquants de profiter des vulnérabilités connues et d'exploiter les appareils des utilisateurs.

Certains utilisateurs de smartphones, comme les propriétaires d’appareils Xiaomi, sont particulièrement vulnérables, puisque le fabricant chinois ne déploie pas de mises à jour de sécurité mensuelles, et cela même sur ses téléphones haut de gamme, contrairement à Samsung. Autre constatation alarmante : plus de 40 % des failles découvertes étaient des variantes de vulnérabilités déjà signalées. Il devient donc urgent que les fabricants de smartphones Android augmentent le rythme des mises à jour.