Si vous possédez l’un des appareils Pixel de Google, la réponse est immédiatement. Si vous faites partie de la majorité des utilisateurs Android qui possèdent des smartphones provenant d’autres fabricants, cette mise à jour Android de sécurité peut apparaître à tout moment, dès à présent ou bien dans plusieurs mois.
C’est une situation confuse et insatisfaisante que Google tente de résoudre depuis plusieurs années maintenant. Récemment, il a expliqué en détail comment il envisageait d’améliorer cela dans la prochaine version d’Android, actuellement appelée “Android Q“.
Actuellement, les mises à jour de sécurité de Google arrivent via les fabricants de téléphones en tant que mises à jour incorporant des éléments propres à chaque modèle et à chaque fabricant. Inévitablement, ce processus prend du temps.
Selon les détails divulgués lors de la conférence des développeurs Google I/O 2019 et dans une interview avec The Verge, le “Projet Mainline” de l’entreprise pour Q adoptera une approche radicalement différente, mettant à jour over-the-air une liste de 14 modules OS, et ce directement à partir du Play Store.
Les modules concernés seraient les suivants :
- ANGLE
- APK
- Login du portail captif
- Conscrypt
- Résolveur DNS
- Documents UI
- ExtServices
- Media codecs
- Les composants media framework
- La configuration de permission du réseau
- Les composants networking
- Le contrôleur de permission
- Les données time zone
- Le module metadata
En d’autres termes, la mise à jour Android de ces éléments sera faite par Google lui-même, éliminant ainsi tout intermédiaire.
Cependant, un nombre non spécifié de modules sera toujours mis à jour via un cycle de correctifs mensuels. Ces correctifs ne concerneront que les appareils sous Android Q. Toute personne utilisant une version plus ancienne (apparemment même les appareils sous Android 9 mis à jour vers Android Q) devra effectuer la mise à jour Android via le canal conventionnel.
Le plus grand point d’interrogation est peut-être que, selon The Verge, les fabricants d’appareils ne seront pas obligés d’adopter ce protocole. Mais à priori, comme il s’agit d’une fonctionnalité plutôt attractive, Google part du principe que la majorité voudra sans aucun doute en bénéficier.
Les derniers correctifs Android de ce mois-ci
Ce mois-ci, l’importance du correctif est plutôt modérée, avec seulement 15 CVE, dont 4 failles d’exécution de code à distance (RCE) classées critiques, 10 classées élevées et 1 modérée pour les deux niveaux de correctifs, 2019-05-01 et 2019-05-05 (consulter les explications du mois dernier pour comprendre la différence entre les deux dates de publication des correctifs).
Les failles sérieuses incluent les RCE au sein du système, CVE-2019-2045, CVE-2019-2046 et CVE-2019-2047. Toutefois, Google estime que la pire est CVE-2019-2044 dans le Media Framework, ce qui, selon lui, pourrait :
Permettre à un attaquant distant d’utiliser un fichier spécialement conçu pour exécuter du code arbitraire dans le contexte d’un processus privilégié.
Il existe également le groupe de correctifs classiques pour les composants propriétaires de Qualcomm, qui ce mois-ci est également modeste : 15, dont 4 considérés comme critiques.
N’oubliez pas que si votre appareil Android est antérieur à la version 7.x, vous ne recevrez aucune de ces mises à jour et devrez faire vous-même toutes les opérations nécessaires.
Si votre appareil Android fonctionne sous 7, 8 ou 9 et qu’il n’est pas un Google Pixel, les mises à jour du mois de mai apparaîtront,… à un moment donné !
Billet inspiré de Latest Android security updates, and Google to fix patch delays for Pixel, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.