Ouvrir le menu principal

iGeneration

Recherche

Google tacle Google pour des failles Android qui ne sont pas corrigées

Pierre Dandumont

mardi 29 novembre 2022 à 12:00 • 22

Android

Le groupe Project Zero, une équipe dédiée à la sécurité employée par Google, vient de tacler… Google. En effet, des failles découvertes il y a plusieurs mois et corrigées par ARM, à l'origine de l'architecture des puces, n'ont pas encore été prises en charge par Google pour les mises à jour de son système, Android.

Des failles dans les GPU ARM

Le problème d'origine touche les GPU fournis par ARM à ses clients : une faille dans un pilote permettait d'écrire dans une zone mémoire normalement en lecture seule. Un des membres de Project Zero a ensuite trouvé cinq autres failles liées. Revenons d'abord sur les GPU ARM : ARM fournit des CPU à ses clients (les Cortex), mais aussi des GPU, la série des Mali. Ils sont intégrés dans les systèmes sur puce de plusieurs fabricants majeurs : Google (dans ses Pixel 6 et 7), HiSilicon (qui équipe les smartphones Huawei), Mediatek (une marque très courante en entrée de gamme) ou Samsung, avec une bonne partie de ses Exynos1. Le problème ne touche par contre pas Qualcomm et ses Snapdragon, car la marque intègre ses propres GPU Adreno2, ni celles d'Apple.

Le Pixel 7 de Google est vulnérable.

Les chercheurs ont prévenu ARM au sujet des failles, découvertes en juin et en juillet 2022, et la société a corrigé rapidement le problème (en juillet et en août 2022) en publiant les correctifs. Le problème, c'est que Google n'a pas encore poussé la mise à jour dans ses correctifs de sécurité mensuels, ce qui implique que, pour le moment, les smartphones équipés d'un GPU Mali sont vulnérables.

Une des raisons du problème vient de la gestion des pilotes sous Android : ils dépendent en partie des mises à jour de l'OS et ne sont pas distribués seuls, comme sous Windows. Ensuite, et c'est ce que note Project Zero, la chaîne est assez longue : le fabricant doit corriger la faille, Google doit appliquer la correction dans ses correctifs, et les fabricants doivent pousser les correctifs (quand ils le font). Et cette longue chaîne n'est pas compatible avec la politique de divulgation des chercheurs (qui date de 2021), qui est de garder les failles secrètes pendant 30 jours après la correction.

Malheureusement pour les utilisateurs de smartphones Android, il n'y a pas de solution miracle actuellement. Le nombre d'acteurs impliqué sur certaines failles ralentit le processus pour la correction, et une faille dans un pilote est probablement un des pires cas possibles, spécialement sur des composants utilisés aussi largement que les GPU Mali.

Si Apple n'est pas concerné par ces failles, elle est en train de tester des mises à jour de sécurités « rapides » permettant de combler plus promptement des vulnérabilités.


  1. Samsung travaille essentiellement avec ARM, mais quelques Exynos possèdent un GPU AMD RDNA2.  ↩︎

  2. Une anagramme de Radeon, car Qualcomm a basé ses GPU sur des puces rachetées à ATi il y a de nombreuses années.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple Invitations passe en version 1.1

01/04/2025 à 22:30

• 8


Non, nous ne sommes pas le 1er mars sur l'icône du calendrier, et Apple a un problème de cohérence dans ses systèmes

01/04/2025 à 21:15

• 18


Quel iPhone choisir ? Notre guide d'achat 2025

01/04/2025 à 20:30

• 9


Comme Siri, Alexa+ ne tient pas encore toutes les promesses d'Amazon

01/04/2025 à 17:15

• 9


iOS 18.4 : le réseau Localiser officiellement lancé en Corée du Sud

01/04/2025 à 16:30

• 9


Promo : -200 € sur des iPhone 16 Pro, Pro Max et 16 Plus

01/04/2025 à 14:45

• 6


VoiceOver, plage braille : du neuf côté accessibilité sur iOS 18.4

01/04/2025 à 11:30

• 9


Carte d'identité : la demande de renouvellement sans motif de perte ou de vol est disponible

01/04/2025 à 10:50

• 54


Les iPhone XS ne seraient pas compatibles avec iOS 19

01/04/2025 à 10:18

• 37


Nouveau firmware pour les AirPods et Lossless pour l'AirPods Max USB-C

01/04/2025 à 09:04

• 34


Sondage : connaissez-vous les prisons pour smartphones, une méthode physique pour restreindre l'addiction aux écrans ?

01/04/2025 à 08:00

• 31


Promo Amazon : -100 € à partir de 999 € d'achat sur des iPhone 16 et 16 Pro, Apple Watch, iPad…

01/04/2025 à 07:24

• 4


Apple TV+ : la série Slow Horses récolte 6 nominations aux BAFTA

01/04/2025 à 00:06

• 10


Apple Intelligence dispo en France : toutes les nouvelles fonctions pour votre iPhone et votre Mac

31/03/2025 à 21:47

• 72


iOS 15.8.4, macOS 13.7.5 : des mises à jour pour les appareils anciens

31/03/2025 à 21:33

• 27


tvOS 18.4 est disponible, avec une mise à jour pour les HomePod

31/03/2025 à 21:07

• 12