Google pousse la sécurisation de l’univers Android un cran plus loin, avec la création du programme « Android Partner Vulnerability Initiative ». Son but est de détecter et corriger les failles dans les codes de ses partenaires : les surcouches créées par les constructeurs, les applications préinstallées, les firmwares de composants matériels, etc.
Ce travail sera fait par des ingénieurs de Google et ne relève donc pas d’un « bug bounty », comme il en existe déjà pour le système Android et pour les applis du Play Store.
Une dizaine de failles figurent d’ores et déjà sur le tableau de chasse de Google. Exemples : une fuite de données dans le navigateur Web de ZTE ; une backdoor dans certains modèles de ZTE permettant à n’importe quelle appli d’installer en douce d’autres applis ; une trop grande permissivité dans le service de mise à jour automatique chez Oppo ; une faille qui permet à une application tierce de récupérer une sauvegarde du terminal chez Huawei ; etc. Dans la grande majorité des cas, les partenaires ont diffusé des correctifs en moins de 90 jours.
Source : Google
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
