Google a déclaré qu’il travaillait avec des partenaires de l’écosystème pour renforcer la sécurité des micrologiciels qui interagissent avec Android.
Alors que le système d’exploitation Android fonctionne sur ce qu’on appelle le processeur d’application (AP), ce n’est qu’un des nombreux processeurs d’un système sur puce (SoC) qui répondent à diverses tâches telles que les communications cellulaires et le traitement multimédia.
« La sécurisation de la plate-forme Android nécessite d’aller au-delà des limites du processeur d’application », l’équipe Android a dit. « La stratégie de défense en profondeur d’Android s’applique également au micrologiciel exécuté sur environnements en métal nu dans ces microcontrôleurs, car ils sont une partie essentielle de la surface d’attaque d’un appareil. »
Le géant de la technologie a déclaré que l’objectif était de renforcer la sécurité des logiciels exécutés sur ces processeurs secondaires (c’est-à-dire les micrologiciels) et de rendre plus difficile l’exploitation des vulnérabilités par liaison radio pour réaliser l’exécution de code à distance dans le SoC Wi-Fi ou la bande de base cellulaire.
À cette fin, Google a noté qu’il explorait et activait des nettoyeurs basés sur un compilateur et activait les fonctionnalités de sécurité de la mémoire dans le micrologiciel en tant que mesures d’atténuation des exploits.
Compte tenu des contraintes de ressources associées aux cibles en métal nu, l’idée est de « renforcer la surface d’attaque la plus exposée – tout en minimisant tout impact sur les performances/stabilité », a expliqué la société basée à Mountain View.
Un autre domaine clé est l’utilisation de langages de programmation sécurisés en mémoire comme Rust pour écrire du code de micrologiciel, poursuivant ses efforts pour étendre son adoption sur toute la plate-forme.
« Le renforcement du micrologiciel fonctionnant sur du métal nu pour augmenter considérablement le niveau de protection – sur plus de surfaces sous Android – est l’une des priorités d’Android Security », a déclaré Google.
Poster un commentaire