Le dernier effort s'appelle Android Partner Vulnerability Initiative, et il ajoute une autre couche de sécurité à celles existantes. Il existe déjà plusieurs programmes dédiés aux chercheurs en sécurité, comme ASR (Android Security Rewards) pour signaler les vulnérabilités Android ou GPSR (Google Play Security Rewards) pour les applications tierces du Play Store.
Et puis il y a les ASB (Android Security Bulletins) que Google rapporte dans l'AOSP pour que les développeurs mettent à jour leur code. Les fabricants de smartphones doivent mettre en œuvre les modifications signalées dans l'ASB via des correctifs de sécurité, qui sont également clairement indiqués dans le système d'exploitation.
Vulnérabilités OEM
Cependant, certaines vulnérabilités spécifiques aux OEM ne sont pas couvertes par les programmes existants. La nouvelle initiative vise également à combler cette lacune pour rendre nos smartphones Android encore plus sécurisés.
La nouvelle initiative couvre un large éventail de problèmes qui peuvent avoir des effets dangereux sur les appareils, en particulier ceux où le code n'est pas géré directement par Google. AVPI vise à protéger le système contre le contournement des autorisations, l'exécution de code arbitraire dans le noyau, le vol d'informations d'identification et la génération de sauvegardes non chiffrées.
Google cite quelques exemples, évidemment sans citer de noms, dans lesquels il est intervenu auprès de certains constructeurs pour résoudre certaines vulnérabilités. C'est le cas d'un système de mise à jour OTA préinstallé par divers OEM qui utilisaient des mots de passe stockés dans le code pour fonctionner, tout en accordant l'accès à des API sensibles au risque d'exposer des données personnelles.
Android 11 : Quels téléphones recevront la mise à jour ?Un navigateur populaire comprend un gestionnaire de mots de passe dont l'interface peut être facilement attachée pour accéder à la base de données de mots de passe. Ces derniers étaient également chiffrés avec un algorithme non sécurisé et avec une clé connue, ressaisie dans le code.
Au lieu de cela, d'autres fabricants ont modifié le code pour accorder des autorisations d'accès spéciales à certaines applications, qui pouvaient passer les contrôles d'exécution même si les autorisations n'étaient pas correctement saisies dans le manifeste respectif.
Pour plus de détails sur l'initiative, nous vous suggérons de consulter cette page, où Google publiera d'autres rapports liés aux problèmes de sécurité récemment découverts et connus.
