Google aurait divisé les logiciels malveillants Android par deux en 2014 mais ignore toujours les anciennes versions

Google vient de publier un rapport de synthèse (PDF) de quarante pages sur la sécurité Android en 2014.

L’entreprise aurait développé 73 correctifs de sécurité pour le système d’exploitation mobile, et divisé par deux le nombre d’installation de logiciels malveillants sur les appareils Android. 6 des correctifs de 2014 seraient toujours en développement.

1 % des appareils Android seraient infectés, et ce nombre tomberait même à 0,15 % pour les appareils qui n’ont effectué des téléchargements que sur Google Play.

Une information à relativiser.

D’une part, parce qu’il n’y a pas de définition universelle des PHA recensées (potentially harmful applications, applications potentiellement dangereuses.)

D’autre part, parce que Google, qui ne donne que trois mois aux autres entreprises pour fournir un correctif à une vulnérabilité que Google aurait trouvée, et parfois royalement 14 jours de plus, refuse de fournir tout correctif de sécurité pour les anciennes versions de ses logiciels. Mieux vaut donc utiliser la toute nouvelle version 5.1.

C’est ainsi que la vulnérabilité de WebView, récemment trouvée dans Android 4.3 et inférieur, ne sera pas corrigée alors même que 60 % des utilisateurs d’Android l’utilisent ou utilisent une version antérieure. Soit près d’un milliard d’utilisateurs exposés à cette vulnérabilité comme à bien d’autres…

Notons enfin que des milliers d’applications Android qui devraient être corrigées par leurs éditeurs, contre FREAK par exemple, ne le sont toujours pas.