L’équipe d’experts en sécurité informatique de Google, connue sous le nom « Project Zero », a publié un billet de blog alertant sur la vulnérabilité des GPU Mali que l’on retrouve dans des millions de smartphones Android.
Google a identifié plusieurs failles des sécurités sur les smartphones Android équipés de puces graphiques « Mali », comme certaines puces Exynos de chez Samsung, les Dimensity de chez MediaTek ou encore les Tensor de chez Google. Un problème de sécurité majeur que les constructeurs ne se sont pas empressés de corriger…
Des failles largement répandues sur Android
Les produits sous Android reçoivent des mises à jour dites « majeures ». Ces dernières représentent le passage à une nouvelle version de l’OS de Google, souvent accompagné d’une interface personnalisée par le constructeur du smartphone concerné. Les mises à jour « mineures » sont toutes aussi importantes dans la mesure où il s’agit de celles qui concernent les correctifs de sécurités. Ces derniers sont déployés tous les mois, tous les deux mois ou tous les trimestres selon les produits.
Lorsque des failles critiques de sécurités sont détectées, les constructeurs font généralement leur maximum pour déployer un correctif et ainsi « combler » les failles. Malheureusement, cela ne se passe pas toujours de cette manière, comme en témoigne l’équipe Project Zero de Google dans son billet de blog.
Sur le même sujet : Samsung va écraser la concurrence avec ses prochaines mises à jour Android
En effet, les experts en sécurités ont porté à l’attention d’ARM, qui développe les puces que nous avons sur nos smartphones, en juin et juillet dernier. L’entreprise a corrigé les failles de sécurité liées à ses GPU Mali un mois plus tard. Malheureusement, aucun constricteur Android n’a pour l’instant suivi le mouvement en appliquant des correctifs de sécurité.
Les vulnérabilités en question offrent aux pirates la possibilité de coder une application pour avoir un accès total à l’OS en contournant le système d’autorisations d’Android.
Parmi les mauvais élèves… Google
Initialement mise en lumière par l’équipe de sécurité de Google, cette faille visant le Pixel 6 n’a pas été corrigée par le constructeur lui-même. Un comble. Les autres marques ne font pas mieux dans la mesure où, à l’heure où nous écrivons ces lignes, aucun constructeur commercialisant des smartphones avec GPU Mali n’a déployé de correctif.
Les marques concernées sont : Google, Samsung, Xiaomi et Oppo. Notez que tous les smartphones Samsung avec processeur Exynos ne sont pas concernés. En effet, les Galaxy S22 européens ont un GPU Xclipse 920 et non un GPU Mali.
À lire : Comment télécharger et installer la dernière version du Google du Play Store
Google conclut son billet de blog en rappelant qu’il conseille toujours aux utilisateurs de mettre à jour leur téléphone Android dès qu’elle est proposée par le constructeur. Encore faut-il que ces derniers soient plus réactifs pour corriger les failles de sécurités.
Source :
Google Project Zero