Google a averti que cinq failles de sécurité affectant les smartphones Android restent non corrigées des mois après avoir été portées à l’attention des fabricants de téléphones.

Dans un blog PublierProject Zero de Google a déclaré que les failles qu’il avait précédemment signalées en juin et juillet n’avaient pas été résolues, laissant les utilisateurs de smartphones appartenant à Samsung, Xiaomi, Oppo et Google lui-même à risque de piratage.

Les problèmes signalés plus tôt dans l’année étaient liés au processeur de carte graphique « Mali » du concepteur de semi-conducteurs ARM, ou GPU. La GPU peut être trouvé dans les téléphones tels que le Pixel 6.

Selon un rapport de Tech Circle, ARM a résolu les problèmes en août, les marques de téléphones telles que Samsung et Google n’ont pas encore corrigé tout des vulnérabilités.

Ian Beer, chercheur à Project Zero, a déclaré que les failles de sécurité pourraient entraîner une « corruption de la mémoire du noyau », ainsi que « des adresses de mémoire physique divulguées à un espace utilisateur non privilégié ». Cela signifie effectivement qu’un attaquant pourrait exploiter les failles de sécurité pour obtenir un accès complet à l’appareil d’un utilisateur et un accès « large » aux données d’un utilisateur.

Beer note qu’un attaquant pourrait y accéder en forçant le noyau de la mémoire à lire et écrire des pages physiques après qu’elles aient été renvoyées au système.

Selon Project Zero, aucun des fabricants de téléphones concernés n’a mentionné les problèmes dans des « bulletins de sécurité en aval » et n’a pas publiquement indiqué si et comment ils le résoudraient, à l’exception de Google.

S’adressant à Engadget, un porte-parole de Google a déclaré : « Le correctif fourni par ARM est actuellement en cours de test pour les appareils Android et Pixel et sera livré dans les prochaines semaines. Les partenaires OEM Android devront prendre le correctif pour se conformer aux futures exigences SPL. « 

Il semble que les vulnérabilités de sécurité relevées par les chercheurs de l’industrie soient principalement des variantes des failles de sécurité actuelles. Plus tôt cette année, Project Zero a publié un rapport qui trouvé la moitié des vulnérabilités zero-day activement exploitées découvertes au cours du premier semestre sont des variantes de failles de sécurité existantes.