L’équipe Android Security & Privacy a présenté vendredi soir une nouvelle initiative destinée à la protection des smartphones non-Pixel, autrement dit ceux des constructeurs tiers. Nommée APVI, pour Android Partner Vulnerability Initiative, elle permet à Google d’avertir les OEM de problèmes découverts sur leurs appareils, et non plus uniquement de ceux dans Android.
Actuellement, Google collecte les failles signalées via ses programmes de récompense. Les modifications apportées au code sont ensuite diffusées dans Android Open Source Project (AOSP) à travers les Android Security Bulletins (ASB), que l’on peut lire tous les mois. Ces bulletins doivent être ensuite adoptés par les OEM.
APVI vient compléter ce processus. Google donne deux exemples. Dans le premier, un service tiers responsable des mises à jour système exposait une API aux privilèges élevés, tout en cherchant un mot de passe inscrit dans le code. Dans le deuxième, un navigateur pouvait exposer les identifiants des utilisateurs.
Via ce programme, Google communique directement avec l’entreprise ou les développeurs concernés. Une position plus active donc, dont les clients ne se plaindront pas.
La sécurité des appareils Android dépend toujours en bonne partie du bon vouloir des constructeurs tiers. Actuellement, un smartphone sous Android reçoit la plupart du temps deux ans de mises à jour majeures, trois dans de rares cas. Le suivi des bulletins de sécurité est souvent irrégulier, beaucoup n’en traitant qu’un sur deux ou trois.
