Google exhorte Samsung d’arrêter de menacer la sécurité d’Android en touchant au noyau Linux

Google Project Zéro affirme que les efforts de Samsung pour renforcer la sécurité sur les smartphones Galaxy les exposent en réalité à davantage de failles de sécurité. Le problème, selon les chercheurs, ce sont surtout les modifications du noyau Linux d'Android, qui menacent la sécurité du système d'exploitation.

Samsung Galaxy

“Le code du noyau Linux est parfois rigide – et les modification de son code de base, en particulier dans un fort qui n'est pas vérifié en amont, peut facilement introduire des problèmes subtils, même lors que ces modifications avaient pour but d'implémenter des fonctionnalités de ‘sécurité'”, explique le chercheur en cybersécurité Jann Horn. Le Google Project Zero détaille dans une longue analyse, les implications de certaines modifications du kernel réalisées par certains constructeurs, notamment Samsung.

A départ, l'auteur s'était intéressé à un bug débouchant à une corruption mémoire du noyau Android de la ROM du Galaxy A50. Mais aussi au fait qu'une seconde vulnérabilité, corrigée de longue date dans d'autres versions d'Android en amont – mais pas dans le kernel Android des smartphones Samsung – contribue à rendre le premier bug exploitable par des pirates. Les constructeurs ont en effet l'habitude de modifier le noyau Android pour l'adapter à divers modèles de smartphones.

Le problème, c'est que les vendeurs modifient souvent directement le kernel, plutôt que de se contenter du Hardware Abstraction Layer (HAL) qui permet de limiter l'impact d'éventuelles failles de sécurité débouchant de modifications propres à l'appareil. Or, le bug débouchant sur une corruption mémoire découlait paradoxalement d'une tentative de Samsung de renforcer la sécurité. Le bug a entre-temps été patché, mais la question que pose le chercheur c'est de savoir comment, dans ce contexte, réduire la surface d'attaques pour de potentiels pirates.

“Je crois que les modifications du noyau spécifiques à l'appareil feraient mieux d'être soit déplacées en amont ou dans les drivers de l'espace utilisateur, où ils peuvent être implémentés dans des langages de programmation plus simples et/ou sandboxés, et qu'en même temps ils ne pourront pas compliquer les mises à jour vers des versions plus récentes du kernel”, conclut le chercheur.

Lire également : Samsung n'est pas obligé de déployer les mises à jour de sécurité Android sur les smartphones plus anciens

L'analyse du chercheur et ses implications sont assez complexes, mais si vous souhaitez aller plus loin, nous vous recommandons la lecture du post (en Anglais) de Jann Horn sur le blogpost du Project Zero.

Source : Google Project Zero


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

L’IA génère du stress et de la fatigue chez les travailleurs, sans vraiment améliorer la productivité

L’IA est-elle vraiment une révolution de productivité ? Une étude remet cette affirmation en cause. Des chercheurs ont observé que les gains de productivité sont en fait souvent dus à…

IA

Boulanger propose l’iPhone 16 Pro Max à un prix record : une offre à ne pas manquer

L’iPhone 16 Pro Max est à son prix le plus bas sur Boulanger. Le smartphone d’Apple voit son prix fondre de plus de 400 € et passe sous la barre…

La mise à jour Linux 7.0 bientôt disponible, de meilleures performances gaming et bureautique à la clé

La mise à jour vers Linux 7.0 va permettre d’améliorer les performances des jeux et des logiciels lourds. Cette version valide aussi définitivement l’usage de Rust comme langage de programmation…

PC

Bon plan Pure Electric Escape 350 W : la trottinette électrique urbaine chute à moins de 300 €

Vous en avez marre des transports en commun bondés et trop souvent en retard ? Vous n’en pouvez plus d’attendre dans les bouchons ? Nous avons trouvé pour vous une…

Avec 75% de réduction, ce casque sans fil Xbox Series chute à moins de 20 euros, c’est à peine croyable !

C’est une baisse de prix spectaculaire pour le casque sans fil PDP Phantom compatible Xbox Series S/X. Il voit son prix chuter de 75% sur le site de la Fnac….

Google Maps : en manque d’aventures ? Cette option dopée à l’IA se charge de vous proposer des idées

La firme de Mountain View poursuit le développement de son application GPS phare : Google Maps. Le géant de la tech s’apprête à y introduire une nouvelle fonction expérimentale : Ask Maps….

YouTube Music Premium accueille une fonction IA très pratique pour créer des playlists personnalisées

YouTube continue d’enrichir les avantages réservés à ses abonnés Premium. Une nouvelle fonction permet désormais de créer des playlists générées par intelligence artificielle. Il suffit d’écrire ou de dire une…

Voici les fiches techniques complètes des Galaxy S26, S26+ et S26 Ultra

À deux semaines de leur annonce officielle, les Galaxy S26, S26+ et S26 Ultra n’ont déjà plus de secret pour nous. Découvrez toutes leurs caractéristiques techniques. On se rapproche doucement…

Safer Internet Day 2026 : quelles sont les clés pour rendre Internet plus sûr pour vos enfants ?

La Journée internationale pour un Internet plus sûr, ou Safer Internet Day, se tient chaque année le deuxième mardi du mois de février. Cet événement vise, entre autres, à sensibiliser…

Google évoque FaceTime pour le Pixel 10a, mais ce n’est pas ce que vous croyez

Le Pixel 10a arrive bientôt et fait déjà parler de lui. Sa fiche produit évoque une compatibilité avec FaceTime, ce qui intrigue de nombreux utilisateurs. En réalité, cette mention cache…