Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Coverity révèle des failles à haut risque sur Android

novembre 2010 par Coverity Software Integrity

Coverity annonce les résultats du rapport Coverity Scan 2010 Open Source Integrity. Ce rapport est le fruit d’une enquête plus large menée sur l’intégrité des logiciels open source dans les secteurs publics et privés, lancée initialement par Coverity et le Département Américain pour la Sécurité Intérieure en 2006. Les résultats de l’édition 2010 du rapport Coverity Scan Open Source Integrity détaille les découvertes issues de l’analyse de plus de 61 millions de lignes de codes open source provenant de 291 projets open source majeurs, tels qu’Android, Linux, Apache, Samba et PHP.

Le service Coverity Scan s’appuie sur la solution Coverity Static Analysis pour tester automatiquement les codes open source soumis par la communauté, le rapport étant la synthèse des découvertes générées par cette analyse.

Les informations principales fournies par le rapport Coverity Scan 2010 Open Source Integrity sont :

- Le Kernel Android testé par Coverity révèle 359 failles logicielles, ce qui donne une idée de ce qui peut être exporté dans les mobiles et les terminaux sous Android les plus utilisés.

- 25% des défauts d’Android identifiés sont à haut risque, et peuvent potentiellement causer des brèches de sécurité et des défaillances majeures.

- Près de la moitié des défauts découverts par Coverity dans les projets open source sont classifiés comme à haut risque.

- Les défauts à haut risques découverts dans Android et d’autres projets open source sont typiquement ceux que les utilisateurs Coverity sont en mesure d’éliminer avant le lancement des produits sur le marché.

- Les défauts courants découverts dans un code open source sont : les corruptions au niveau de la mémoire, les problèmes de pointeur NULL et les défauts de ressource. Ces déficiences peuvent être à l’origine de crash système et de vulnérabilité de sécurité des produits.

Pour la première fois, Coverity va communiquer les détails de projets spécifiques open source, en commençant par le Kernel Android 2.6.32 (« Froyo ») du rapport Coverity Scan 2010 Open Source Integrity. Selon Google, plus de 65 000 terminaux sous Android sont mis chaque jour sur le marché. Android devrait également devenir le deuxième OS le plus utilisé dans les smartphones d’ici à 2012, captant 18% des ventes mondiales de smartphone (1).

« Les logiciels open source comme Android sont intimement liés une la chaine logistique logicielle qui implique de nombreux fabricants de composants informatiques pour l’industrie des terminaux mobiles. Ceci génère une très forte demande en termes de visibilité sur la qualité et l’intégrité des codes open source intégrés dans les terminaux mobiles modernes, » commente Andy Chou, Scientifique en chef et co-fondateur de Coverity. « L’objectif de Coverity est d’aider les développeurs open source à identifier et résoudre les défauts de leurs logiciels, et de permettre à nos clients à connaitre ce qu’ils intègrent dans leurs produits et services. »

« Les résultats du Coverity Scan que nous avons mené sur le Kernel Android montre une densité de défauts meilleure que la moyenne, ce qui signifie que ce Kernel spécifique est mis sur le marché avec moins de défauts que la moyenne du secteur pour les logiciels de cette envergure, » poursuit M. Chou. « Néanmoins, un nombre significatif de ces défauts sont ceux à haut risque que nos clients résolvent habituellement avant de mettre leurs produits sur le marché. Nous considérons que le fait de mettre proactivement en lumière ces défauts donne aux développeurs et aux fournisseurs de l’industrie IT l’opportunité de résoudre ces déficiences avant qu’elles ne se transforment en problème. »

Détails du test de code du Kernel Android

Le rapport Coverity Software Integrity pour le Kernel Android se base sur l’analyse du Kernel Android 2.6.32 (« Froyo »). Le Kernel analysé est utilisé dans les smartphones, spécialement dans le HTC Droid Incredible. En plus du Kernel standard, la version testée intègre le support pour les drivers du sans fil, des écrans tactiles et des caméras. La source du Kernel a été fournie par HTC Developper Center (2). Coverity prévoit de tester à nouveau le Kernel Android et rapporter les changements dans la densité de défauts et le statut des défauts à haut risque.




Voir les articles précédents

    

Voir les articles suivants