Android Oreo : Google annonce un nouveau système de sécurité similaire à celui d’Apple

 

Android Oreo va recevoir une mise à jour apportant de nouvelles fonctionnalités de sécurité tant au niveau matériel que logiciel. Comme sur les iPhone d'Apple, notamment, le chiffrement ne pourra plus être déjoué sans mot de passe, et les tentatives de déverrouillage seront limitées. Tous les constructeurs Android pourront profiter de ce système. 

android oreo sécurité

La sécurité est très importante pour les utilisateurs de smartphones. Face aux nombreux malwares redoutables qui pullulent sur le Play Store, il est important que nos appareils mobiles soient sécurisés aussi bien sur le plan logiciel que matériel. Afin de renforcer la sécurité d'Android Oreo, Google annonce une importante mise à jour apportant de nouvelles fonctionnalités pour le système d'exploitation. Les ajouts sont nombreux, et cette mise à jour est donc loin d'être anodine.

Désormais, Android est conforme au profil d'anonymat IETF RFC 7844. De fait, le net.hostname est maintenant vide, et le client DHCP de l'appareil n'envoie plus d'hostname. Google a également inclus une fonction MAC adress randomization dans le code, afin de permettre aux appareils de rester anonymes lorsqu'ils se connectent au WiFi. Les applications qui requièrent un device ID doivent maintenant demander la permission, et les utilisateurs devront donc confirmer deux fois pour autoriser le partage d'informations.

Android Oreo : la sécurité fortement renforcée au niveau matériel et logiciel

Les développeurs doivent utiliser l'API Build.getSerial() pour obtenir le Device ID auprès des utilisateurs. De même, WebView a été séparé du reste du code de navigation web sur Android, afin de permettre aux Instant Apps de fonctionner de façon plus sécurisée. WebView supporte aussi le Safe Browsing pour les Instant Apps. Enfin, les Instant Apps sont lancées dans un  « bac à sable » restreint pour permettre aux utilisateurs de fixer les limites. Pour tous les composants média, le Control Flow Integrity (CFI) a été activé pour rendre les attaques de type control flow graph plus difficiles à exécuter. Par ailleurs, le Project Treble sépare les mises à jour logicielles du logiciel final qu'elles remplacent, afin de simplifier les mises à jour et de renforcer la sécurité.

La principale nouveauté apportée par Google concerne la sécurité au niveau matériel. Un RPMB a été intégré au code Android afin de garantir que les données stockées sur un téléphone volé restent confidentielles, même si le voleur réinitialise le smartphone. Le statut « verrouiller » peut être stocké sur le RPMB ou sur un support dédié. Désormais, la clé de chiffrement de l'appareil ne peut plus être déverrouillée sans le mot de passe, et le nombre limité de tentatives de déverrouillage autorisées empêche de contourner cette sécurité. Ce système n'est pas sans rappeler celui d'Apple pour les iPhone. Désormais, tous les constructeurs Android pourront utiliser une telle sécurité.



Via android-developers.googleblog.com/2017/12/double-stuffed-security-in-android-oreo.html
Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
android google failles
Android : Google corrige 33 failles de sécurité en novembre 2020

Google vient de lancer le déploiement du patch de sécurité Android du mois de novembre 2020. Avec ce nouveau correctif, la firme de Mountain View corrige un total de 33 failles de sécurité identifiées dans le code de son OS…

tiktok avast adware jeune fille
Android, iOS : Avast découvre 7 nouveaux malwares grâce à une fillette

Sept applications malveillantes ont été repérées sur le Google Play Store et sur l’App Store. Téléchargées plus de 2,4 millions de fois, elles  bombardent l’utilisateur de publicités et le facturent avec des achats in-app inutiles. Fait incroyable, les chercheurs d’Avast…