Le Project Zero, cette équipe de chasseurs de bugs et de failles de sécurité mise en place par Google, a débusqué 11 failles dans le Galaxy S6 Edge. Samsung, comme tous les autres constructeurs de smartphones Android ou presque, injecte à Android ses propres logiciels qui contiennent des vulnérabilités s’ajoutant à celles déjà présentes dans le système d’exploitation.
Ces nouvelles failles permettent à un filou d’injecter du code malicieux dans le noyau du système, de consulter les e-mails de l’utilisateur, de modifier les privilèges d’accès. Ces faiblesses, trouvées « très rapidement » se situent au niveau des pilotes et de la gestion des médias. Trois failles peuvent être exploitées en téléchargeant une image sur l’appareil, une autre touche le client e-mail de Samsung…
Dix membres du Project Zero ont planché une semaine sur la phablette aux bords incurvés. Samsung a été bien sûr mis au courant de ces vulnérabilités aussitôt leur découverte ; huit d’entre elles ont été corrigées et proposées dans la mise à jour de maintenance distribuée en octobre. Le reste, c’est à dire trois failles de moindre importance, le sera ce mois. En tout, la majorité de ces failles a été bouchée en moins de 90 jours, le délai de grâce avant que Google ne dévoile publiquement ces vulnérabilités.
Dans l’histoire, Samsung a réagi promptement, mais l’équipe du Project Zero a voulu mettre en lumière la problématique de la sécurité informatique chez les constructeurs tiers, qui n’investissent peut-être pas suffisamment pour sécuriser leurs applications et leurs surcouches.
Source : Computerworld
