Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Android : Google lance un programme pour améliorer la sécurité sur les appareils tiersCrédits : juniorbeep/iStock

L’équipe Android Security & Privacy a présenté vendredi soir une nouvelle initiative destinée à la protection des smartphones non-Pixel, autrement dit ceux des constructeurs tiers. Nommée APVI, pour Android Partner Vulnerability Initiative, elle permet à Google d’avertir les OEM de problèmes découverts sur leurs appareils, et non plus uniquement de ceux dans Android.

Actuellement, Google collecte les failles signalées via ses programmes de récompense. Les modifications apportées au code sont ensuite diffusées dans Android Open Source Project (AOSP) à travers les Android Security Bulletins (ASB), que l’on peut lire tous les mois. Ces bulletins doivent être ensuite adoptés par les OEM.

APVI vient compléter ce processus. Google donne deux exemples. Dans le premier, un service tiers responsable des mises à jour système exposait une API aux privilèges élevés, tout en cherchant un mot de passe inscrit dans le code. Dans le deuxième, un navigateur pouvait exposer les identifiants des utilisateurs.

Via ce programme, Google communique directement avec l’entreprise ou les développeurs concernés. Une position plus active donc, dont les clients ne se plaindront pas.

La sécurité des appareils Android dépend toujours en bonne partie du bon vouloir des constructeurs tiers. Actuellement, un smartphone sous Android reçoit la plupart du temps deux ans de mises à jour majeures, trois dans de rares cas. Le suivi des bulletins de sécurité est souvent irrégulier, beaucoup n’en traitant qu’un sur deux ou trois.

5 commentaires
Avatar de coco74 Abonné
Avatar de coco74coco74- 05/10/20 à 09:22:28

Le problème d'android c'est les MAJ,

Imaginons, on prends un smartphone haut de gamme au hasard, il n'est probablement plus mis à jour 2 ou 3 ans plus tard. Est ce qu'il est périmé ? Pour le fabriquant, oui, pour le consommateur, certainement pas.

Si on regarde uniquement les OS et leurs fonctionnalités similaires, la grande force d'apple est de proposer des mises à jour pendant 5/6 ans selon les produits.

Pour certains android, heureusement que le bootloader reste dévérouillable. Sinon bonjour les maj qui n'arrivent plus.
Exemple: LG G6, téléphone tout à fait encore actuel, abandonné par le sur android 9. Mis à jour mensuellement par des devs avec Havoc OS, android 10 et mises à jour de sécurité.

Avatar de Re4Qube Abonné
Avatar de Re4QubeRe4Qube- 05/10/20 à 10:43:10

Et sur les Pixel, Google lui-même ne s'astreint qu'à 3 années de mise à jour...

Avatar de ToMMyBoaY Abonné
Avatar de ToMMyBoaYToMMyBoaY- 05/10/20 à 12:50:09

Au final, le service est certainement bien foutu côté technique mais aucun intérêt évident n'ira pousser les constructeurs à y participer. On pourra tout au plus espérer la participation de quelques acteurs en essayant d'en faire un différenciateur.

Édité par ToMMyBoaY le 05/10/2020 à 12:50
Avatar de ForceRouge INpactien
Avatar de ForceRougeForceRouge- 05/10/20 à 21:06:22

Sans entrer dans le débat iOS vs Android, c'est pour cette raison que j'ai re-switch vers iOS. Dégouté de voir mon Galaxy S9 acheté day 1 ne recevoir que 2 mises à jour majeurs + 1 an sécurité.

A coté de ca, chez iOS, c'est mini 5 ans, features et sécu + encore 1 ou 2 ans de patch sécu des failles majeurs.

Avatar de chasis.fan Abonné
Avatar de chasis.fanchasis.fan- 10/10/20 à 23:21:09

Apres concernant Android, il faut pas juste limiter aux mises à jour systèmes qui effectivement sont toutes limitées dans le temps et plus ou moins catastrophiques en fonction du constructeur (voir opérateur quand on fait la bêtise d'acheter une version opérateur).

Ne pas oublier que plein de composants applicatifs sont mis à jour via le playstore :

  • application téléphone
  • caméra
  • sms
  • agenda
  • ...

Sans oublier qu'elles sont toutes remplaçables par des applications non fournies par le constructeur (avec limitation parfois, comme pour la caméra parfois, n'ayant pas forcément accès aux DSP spécialisés ou autres trucs un peu spécifique d'un appareil)

Alors qu'il me semble que toutes ses applications de bases sont mises à jour chez la pomme via les maj systèmes et plusieurs ne peuvent pas être remplacées par une alternative (ca se décontract un peu du coté du navigateur, client mail etc avec possibilité de choisir par défaut des apps concurrentes mais ca reste quand meme ultra controlé ...)

Ne pas oublier les Google Play Services mis à jour silencieusement régulièrement et apportant des fonctionnalités ou correctif, pas forcément le plus gros exemple qui soit mais les fonctionnalités de contact tracing (que n'utilise pas stopcovid mais passons), sont passées par les play services contrairement à la pomme (maj système iOS 13.7).

Enfin, conscient de ces galères de maj system (y compris pour les patchs de sécurité mensuels), Google extrait de plus en plus de composants bas niveau des maj système pour pouvoir les patcher au plus vite si besoin, voir le projet mainline (https://www.xda-developers.com/android-project-mainline-modules-explanation/)

Autre truc du style : la capacité à mettre à jour des pilotes graphiques via le playstore (https://www.xda-developers.com/android-o-users-will-update-graphics-drivers-through-play-store/), Qualcomm a commencé à s'y mettre sur ses GPU 2020 haut de gamme (865/765/765G par exemple) : https://www.anandtech.com/show/15665/qualcomm-to-update-smartphone-gpu-driver-every-quarter-develops-gpu-inspector-tool

Édité par chasis.fan le 10/10/2020 à 23:22
Il n'est plus possible de commenter cette actualité.