Les systèmes d’exploitation mobiles sont nettement plus sûrs que leurs homologues de bureau par le passé, grâce à une attention croissante portée à la sécurité et à une approche plus restrictive de ce que les applications peuvent faire. En fait, Android est devenu si difficile à craquer que les chercheurs en sécurité n’essaient souvent même plus d’attaquer le système d’exploitation lui-même. Google dit qu’ils se concentrent plutôt sur le micrologiciel d’un téléphone – le logiciel qui fonctionne sur le « bare metal » dans les puces individuelles et les contrôleurs sur un SoC. C’est là que de nouveaux efforts entrent en jeu que la société a annoncés cette semaine.
Dans un article de blog, Google explique que ça marche avec des partenaires de l’écosystème pour renforcer la sécurité des micrologiciels qui interagissent avec Android. La société pointe vers des désinfectants basés sur un compilateur comme BoundSan et IntSan ainsi que de nombreuses autres atténuations destinées à protéger contre les exploits. La société souhaite également ajouter davantage de fonctionnalités de sécurité de la mémoire au micrologiciel, telles que l’initialisation automatique de la mémoire.
Le problème avec le durcissement du micrologiciel est qu’il doit trouver le bon équilibre afin qu’il n’y ait pas trop de problèmes de performances, comme l’explique Google. Étant donné que le micrologiciel fonctionne souvent avec beaucoup moins de mémoire et de puissance de traitement que le processeur d’application qui héberge Android, les correctifs de sécurité peuvent augmenter considérablement l’utilisation de la mémoire et réduire les performances. Nous avons vu quelque chose comme ça dans la nature avec Vulnérabilités Meltdown et Spectre d’Intel en 2018 sur les ordinateurs de bureau, qui ne pouvaient être résolus qu’avec des impacts majeurs sur les performances du processeur. Google se concentre sur les surfaces d’attaque les plus exposées comme la bande de base cellulaire et les puces Wi-Fi, qui sont facilement attaquées sans accès physique à l’appareil.
L’autre domaine sur lequel Google se concentre pour créer un environnement plus sûr est la sécurité de la mémoire. La société a réécrit de gros morceaux de Android 13 dans Rouiller, un langage de programmation sécurisé pour la mémoire qui est intrinsèquement à l’abri des attaques utilisant la mémoire, et l’entreprise souhaite s’y tenir avec les futures versions d’Android. Comme découvert par Mishaal Rahman écrit pour XDAd’autres modifications de la sécurité de la mémoire pourraient être apportées avec Android 14.
Google rappelle en outre qu’il a mis à jour son Consignes de gravité du Vulnerability Rewards Program avec le lancement d’Android 13, mettant davantage l’accent sur les bogues exploitables à distance. La société espère que cela conduira à davantage de contributions de chercheurs tiers dans ces domaines.
Vous ne remarquerez peut-être jamais toutes ces améliorations dans l’utilisation quotidienne, et c’est une bonne chose. Tant que les mesures de sécurité fonctionnent comme prévu, vous ne devriez pas remarquer d’impact sur les performances ou de problèmes de sécurité lorsque vous utilisez votre téléphone Android préféré.
