Google a publié son rapport annuel sur la sécurité de l’écosystème Android durant l’année 2015. Selon l'audit interne de la société, si l’image d’Android a été un peu ternie du côté de la sécurité pendant les années antérieures, les mesures prises par les ingénieurs pour combattre les logiciels malveillants, mais également colmater les failles de sécurité semblent progressivement porter leurs fruits. « En 2015, nous avons amélioré notre compréhension de l'écosystème en utilisant des systèmes automatisés qui intègrent une corrélation d'événements à grande échelle ainsi qu’un apprentissage machine, ce qui a permis d’exécuter plus de 400 millions d'analyses automatiques de sécurité par jour sur les appareils avec Google Mobile Services », a indiqué Google.
« En grande partie grâce à ces analyses, les exploitations de vulnérabilités qui sont couronnées de succès sur les dispositifs Android ont été extrêmement rares en 2015. La plus grande menace a été l’installation de Potentially Harmful Applications (PHA), ou des applications qui peuvent endommager un dispositif, endommager le dispositif d’un utilisateur ou faire quelque chose qui n’est pas volontaire avec les données d’un utilisateur », a expliqué Google. Comme exemple de PHA, Google cite un jeu qui transmet une liste d’applications installées sur le dispositif sans le consentement exprès de l’utilisateur.
La possibilité d’installer un PHA depuis la vitrine Google Play a diminué de 40 pour cent. Google a avancé que 0,08 pour cent de toutes les applications installées contenaient des logiciels malveillants (en baisse de 40 pour cent comparé à 2014), 0,02 pour cent des applications installées contenaient des logiciels espions (en baisse de 60 pour cent comparé à 2014) et 0,01 pour cent des logiciels installés contenaient un malware qui effectuait des téléchargements (en baisse de 50 pour cent comparé à 2014). Globalement, Google a expliqué « qu’en moyenne, moins de 0,5 % des dispositifs avaient un PHA installé en 2015 et les dispositifs qui n’installaient des applications que depuis Google Play se sont retrouvés avec une moyenne inférieure à 0,15 % ».
Concernant les failles de sécurité, l’un des plus grands problèmes auxquels Google a été confronté est probablement Stagefright, la faille de sécurité dans le code source d’Android Open Source Project (AOSP) baptisée du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Étant donné que l’exécution des médias se doit d’être rapide pour le confort des utilisateurs, cette bibliothèque a été implémentée en C++ « qui est plus sujet aux corruptions de mémoire que des langages comme Java ».
Pour encourager les chercheurs à l’aider à repérer plus vite les failles de sécurité d’Android, Google a décidé en juin dernier d’inclure Android dans son Vulnerability Rewards Program (VRP), son système de récompenses. Ce programme l’a aidé à détecter et colmater un plus grand nombre de failles. En tout Google a fourni 94 correctifs de sécurité de plus en 2015 qu’en 2014. Cependant, à cause de la grande différence dans la classification des vulnérabilités, Google a estimé qu’il n’était pas possible de faire une comparaison entre les deux années.
« En tout, en 2015, nous avons publié des correctifs de sécurité pour 69 failles jugées critiques, 54 jugées élevées, 34 jugées modérées et 16 jugées faibles. Parmi ces correctifs, 7 critiques, 2 élevés et 6 modérés ont été publiés directement chez nos partenaires dans la période comprise entre janvier et juillet avant la publication de bulletins publics. Bien qu’aucun bulletin de sécurité n’a été publié après août 2015, tous ces correctifs fournis en privé à nos partenaires sont disponibles sur AOSP ». Notons quand même que, sur les failles découvertes, 42 % des critiques, 22 % des élevées et 9 % des modérées ont été découvertes en interne par Google.
Source : rapport Google (au format PDF)
Voir aussi :
La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright qui permet de contrôler un appareil en se servant d'un MMS