Samsung publie une mise à jour, mais les utilisateurs de Galaxy doivent rester vigilants

Samsung a une nouvelle fois devancé Pixel en publiant les détails de la mise à jour de sécurité ce mois-ci. Cependant, cette mise à jour est en réalité une mauvaise nouvelle pour les utilisateurs de Galaxy, car une vulnérabilité importante n’a pas été corrigée. 

Un article de Zak Doffman pour Forbes US – traduit par Lisa Deleforterie

Google a confirmé que les appareils Samsung et autres appareils Android sont vulnérables à la même menace de sécurité signalée en juin pour les Pixel. Bien que les Pixel aient été corrigés, les appareils Samsung ne le sont toujours pas. Et cette vulnérabilité n’est pas du tout prise en compte dans la mise à jour de juillet. Étant donné que cette menace a entraîné une alerte du gouvernement américain, il est essentiel d’être très vigilant quant à cette exposition.

La mise à jour de Samsung inclut bien quatre autres correctifs de sécurité critiques pour Android, bien que trois d’entre eux concernent des vulnérabilités de Qualcomm et aient été reportés depuis la mise à jour de juin d’Android. Samsung avertit que les mises à jour des composants peuvent arriver plus tard que les correctifs logiciels et micrologiciels, mais encore une fois, Pixel a réussi à les publier plus rapidement. Au moins, l’autre mise à jour critique d’Android incluse dans la publication de juillet de Samsung est à jour et a été publiée immédiatement. Google avertit que la vulnérabilité CVE-2024-31320 impacte le cadre sous-jacent d’Android.

En plus des correctifs Android généraux, Samsung inclut la liste habituelle de ses propres correctifs, comprenant des mises à jour essentielles pour traiter une vulnérabilité de validation d’entrée. Samsung avertit que cela pourrait permettre à un attaquant distant d’exécuter du code arbitraire en compromettant les données de contrôle sécurisées sur l’appareil. Bien qu’une « interaction utilisateur soit requise pour déclencher cette vulnérabilité », il pourrait s’agir d’un message d’interface utilisateur que l’utilisateur doit valider, cela pourrait être dissimulé de diverses manières. Cependant, le problème bien plus critique est l’absence de correctif pour la vulnérabilité Zero Day des Pixel.

Le mois dernier, Google a averti les utilisateurs de Pixel que la CVE-2024-32896 « pourrait faire l’objet d’une exploitation limitée et ciblée », et le gouvernement américain a ensuite exigé que les employés fédéraux mettent à jour leurs appareils Pixel avant le 4 juillet « ou cessent d’utiliser le produit ».

Ce correctif Pixel faisait partie de la deuxième partie d’une correction d’avril, et GrapheneOS, qui était derrière la divulgation, a averti : « Il y a deux vulnérabilités en cours de traitement. Aucun des deux problèmes n’est encore corrigé en dehors des Pixel. »

Google a confirmé cela : « L’équipe de sécurité d’Android est consciente de ce problème. Après une revue supplémentaire, il a été constaté que ce problème impacte la plateforme Android. Les appareils Pixel qui ont installé la dernière mise à jour de sécurité sont protégés. Nous donnons la priorité aux correctifs applicables pour les autres partenaires OEM Android et les déploierons dès qu’ils seront disponibles. »

Et bien que Google assure que « des exploits supplémentaires seraient nécessaires pour compromettre un appareil », c’est précisément cette combinaison de multiples failles en une attaque en chaîne que GrapheneOS a mise en garde. Actuellement, aucun correctif n’existe pour les appareils autres que les Pixel, et il pourrait falloir des mois avant qu’un correctif soit disponible.

GrapheneOS avertit également qu’une autre vulnérabilité (CVE-2024-29745) reste une menace pour les appareils Samsung et autres appareils Android, et n’a également été corrigée que sur les Pixel. CVE-2024-29745 est le problème le plus sérieux et a été entièrement corrigé en avril pour les Pixel, mais les autres appareils n’ont pas encore cette protection. Étant donné qu’il s’agit d’un problème de micrologiciel, chaque fabricant d’équipement d’origine (OEM) doit fournir sa propre mise à jour pour corriger cette vulnérabilité. Et cela prendra du temps.

Le fait que les Pixel bénéficient de correctifs alors que les autres appareils restent vulnérables commence à devenir une tendance alarmante, notamment si vous avez investi plus de 1000 euros dans un nouveau modèle phare.

La sortie d’Android 15 est imminente et apportera de nouvelles mises à jour de sécurité ainsi qu’une meilleure protection des utilisateurs. Elle devrait également résoudre plusieurs des problèmes actuels. Toutefois, cette mise à jour ne sera pas disponible immédiatement. En attendant, les utilisateurs de Samsung sont invités à installer la mise à jour de ce mois-ci dès qu’elle sera disponible pour leur modèle, région et opérateur.

À lire également : Commission européenne : une amende de 30 milliards pour Apple ?