Google demande à Samsung d’arrêter de rendre vulnérable Android par ces modifications personnelles
Selon Google, le géant Coréen Samsung jouerait aux « apprentis sorciers » avec la sécurité de son système d’exploitation, Android.
A travers son groupe de chercheurs spécialisés dans la sécurité informatique, le Google Project Zero, le géant américain a pointé du doigt certaines pratiques de Samsung qui exposent de plus en plus le système d’exploitation le plus utilisé au monde à travers les smartphones de la marque coréenne. Pour les spécialistes de Google, Samsung et d’autres fabricants de technologie ont tendance à ajouter des fonctionnalités qui portent atteinte à l’effort fourni par la firme de Redmond pour rendre Android plus sûr.
Cet article va aussi vous intéresser : Une importante faille de sécurité sur Android met en danger les données bancaires et les mots de passe
L’équipe du project zero de Google a mis en évidence l’ensemble des tentatives de Samsung sur les téléphones Galaxy qui n’ont abouti qu’à exposer de plus en plus ces smartphones à plus de bugs. Après avoir tolérer ce genre de pratique depuis des années, dû en grande partie au caractère Open Source de Android, Google a voulu mettre ces derniers temps en évidence le fait que les fabricants de smartphones et autres appareils qui fonctionnent sous son système d’exploitation, le rendent encore plus vulnérables aux attaques informatiques leurs produits en tentant de personnaliser de plus en plus le noyau Linux de Android, pour y apporter des fonctionnalités qui en grande partie ne sont souvent pas nécessaire. Cet avis fut exposé clairement par Jann Horn, un chercheur de Project Zero. Car il a découvert ce genre de modification problématique dans le noyau Android des modèles Galaxy A50 de la marque Samsung.
Malheureusement, ce genre de pratique est courante chez les fabricants et fournisseurs d’appareils numériques, en particulier des smartphones. Même si dans la majeure partie des cas les tensions étaient bonnes, c’est-à-dire accroître la sécurité de leurs produits. Il n’en demeure pas moins que ce genre d’action à tendance à multiplier les vulnérabilités présentes dans le système de ces smartphones. On se rappelle alors qu’en novembre 2019, Google avait signalé à Samsung, une faille de sécurité présente dans la mémoire de plusieurs modèles de Samsung Galaxy suite à une tentative d’amélioration de la sécurité du noyau Linux d’Android. Un bug de sécurité qui n’a été résolu que ce mois-ci à travers une mise à jour. « Le problème affecte le sous-système de sécurité supplémentaire de Samsung appelé PROCA ou Process Authenticator.
Samsung décrit le bug, SVE-2019-16132, comme un problème modéré composé de vulnérabilités d’utilisation après libération et de double libération au sein de PROCA qui permettent une « exécution possible de code arbitraire » sur certains appareils Galaxy exécutant Android 9.0 et 10.0. », expliquait Horn, le chercheur en sécurité du project zero. Selon ce dernier, plusieurs moyens ont été fournis par Android pour faire en sorte que les fournisseurs puissent au mieux utiliser le service sans pour autant fournir trop d’efforts au niveau de la sécurité. Et pour se faire, l’objectif est d’empêcher ces derniers à faire des ajouts qui risquent de rendre encore inutile tout ce travail. « Android a réduit l’impact de ce type de code sur la sécurité en bloquant les processus qui ont accès aux pilotes de périphériques, qui sont souvent spécifiques au fournisseur. ».
Pour finir, Horn estime que les modifications apportées par Samsung sont inutiles. Par conséquent, elles doivent cesser le plus tôt possible, où travailler en amont avec Google : « Je pense que les modifications du noyau spécifiques à chaque appareil seraient mieux intégrées soit en amont, soit déplacées dans des pilotes de l’espace utilisateur, où elles peuvent être implémentées dans des langages de programmation plus sûrs et/ou dans une sandbox. De cette façon, elles ne compliqueront pas les mises à jour des nouvelles versions du noyau. ».
Accédez maintenant à un nombre illimité de mot de passe :