À chaque mise à jour d'Android , nous attendons de nouvelles fonctions ou améliorations d'interface, mais peut-être qu'un aspect auquel nous ne prêtons pas beaucoup d'attention est la sécurité , et de ce point de vue Android 14 sera une grande nouvelle. Avec un post sur son blog dédié à ce sujet, Google a en effet expliqué comment la nouvelle version du robot vert apportera une série de protections au niveau du réseau cellulaire qui n'ont jamais paru sur un système d'exploitation mobile, permettant de désactiver la 2G réseaux et non-connexions protégés par cryptage. Mais à quel risque sommes-nous confrontés et pourquoi cette solution est-elle importante ? Certains types d'attaques, comme les Stingrays ou les Fake Base Stations (FBS), exploitent les faiblesses des standards de téléphonie mobile pour attaquer les téléphones, et c'est d'autant plus le cas pour la 2G , souvent utilisée en l'absence d'autres réseaux de communication voix ou SMS. Le problème est que ce type de technologie, développé en 1991, n'offre pas le même niveau de sécurité que les générations mobiles ultérieures. En particulier, les réseaux 2G basés sur la norme GSM (Global System for Mobile Communications) manquent d'authentification mutuelle, ce qui permet des attaques triviales de type Person-in-the-Middle et, depuis 2010, une interception et un décryptage sans fil triviaux du trafic 2G. .

Dans de telles conditions, un smartphone ne peut pas savoir si une station de base cellulaire est légitime ou non, et un attaquant peut exploiter cette faiblesse pour intercepter le trafic ou même télécharger des logiciels malveillants. Mais pas seulement. De tels outils amèneraient même le téléphone à n'utiliser que la connectivité 2G , sans que l'utilisateur ne s'en aperçoive et même si un opérateur venait à désactiver le réseau 2G. Un exemple est précisément les Stingrays, qui ont permis au malware Pegasus d'être chargé de côté dans les téléphones des journalistes et un système de phishing sophistiqué qui aurait touché des centaines de milliers d'utilisateurs avec un seul FBS. Cette attaque a probablement forcé les téléphones à utiliser des connexions 2G pour injecter des attaques de SMSishing, et comme vous pouvez bien le comprendre, l'actualité préoccupe particulièrement non seulement les journalistes et les militants, mais aussi le secteur des entreprises . Pour contrer le phénomène, Android 12 a introduit la possibilité pour les utilisateurs de désactiver la 2G au niveau du modem, une solution prise en charge par tous les appareils Android compatibles avec Radio HAL 1.6+ , mais sans empêcher les appels d'urgence.

Avec Android 14 , Google est allé encore plus loin. Du point de vue de la transition vers la connectivité 2G, Google a introduit de plus grandes limitations dans Android Enterprise , une branche dédiée aux grandes entreprises et aux agences gouvernementales, qui fournit des contrôles de gestion pour les fonctionnalités de sécurité de la connectivité, y compris la possibilité de désactiver le WiFi, le Bluetooth et même rapport de données via USB. Cela permet aux utilisateurs de configurer la connectivité mobile en fonction de leur modèle de risque et selon les besoins, en gardant toujours le modem 2G éteint ou en s'assurant que les employés sont protégés lorsqu'ils se rendent dans des endroits à haut risque spécifiques. Mais pas seulement. La prochaine version d'Android aborde également le risque des réseaux cellulaires non chiffrés (appelés chiffrements nuls ). Alors que tout le trafic utilisateur basé sur IP est sécurisé et crypté de bout en bout par la plate-forme Android, les réseaux cellulaires exposent le trafic voix et SMS, qui dépend du cryptage au niveau de la couche de liaison cellulaire. Si celui-ci n'est pas crypté, l'utilisateur ne peut pas le savoir et est sujet à une écoute clandestine. Avec Android 14, les utilisateurs peuvent désactiver la prise en charge des réseaux non cryptés au niveau du modem, tout comme les réseaux 2G, tout en permettant aux appels d'urgence d'être passés via une connexion non cryptée. Ces solutions de sécurité sont évidemment introduites dans Android, mais les OEM individuels doivent les mettre en œuvre, et Google espère que cela se produira en temps opportun.