Android : pourquoi le non-patch de Google pour 60 % des utilisateurs

Le par  |  7 commentaire(s) Source : Google (Adrian Ludwig)
Jelly-Bean

Google confirme ne pas avoir l'intention de corriger une vulnérabilité de sécurité affectant d'anciennes versions de WebView et ainsi le navigateur Web par défaut d'anciennes versions d'Android. Près de 60 % des utilisateurs d'Android sont dans ce cas mais Google justifie sa décision.

Il y a quelques jours, Tod Beardsley de la société de sécurité Rapid7 a fait naître une polémique concernant une vulnérabilité affectant d'anciennes versions du composant WebView alors natif pour Android et pour laquelle Google ne proposera pas de correctif.

En se référant aux statistiques Google Play pour le taux d'adoption des diverses versions d'Android, ce sont ainsi près de 60 % des utilisateurs qui sont concernés, soit les versions antérieures à KitKat (Android 4.4) et donc Jelly Bean parmi celles-ci.

malware_Android_BT-GNTDans un post publié sur Google+, Adrian Ludwig, ingénieur en chef pour la sécurité Android chez Google, confirme cette décision de ne pas proposer un patch. Rappelons qu'elle expose à de possibles futures attaques les utilisateurs du navigateur Web par défaut des anciennes versions d'Android.

Adrien Ludwig écrit que WebKit représente à lui seul plus de 5 millions de lignes de code et des centaines de développeurs ajoutent de nouvelles contributions chaque mois. " Ainsi, dans certains cas, appliquer des correctifs de sécurité à une branche de WebKit de plus de deux ans nécessite de modifier des portions significatives de code ". " Dans la pratique, cela ne pouvait plus se faire en toute sécurité. "

Autrement dit, Google considère qu'un patch pour ladite vulnérabilité WebView aurait introduit des changements dans le code susceptibles de casser son intégrité. Pour Google, le jeu n'en valait manifestement pas la chandelle.

Le bon conseil d'Adrien Ludwig est donc d'utiliser un navigateur avec son propre moteur de rendu et qui est régulièrement mis à jour. Il cite ainsi Chrome (pris en charge sur Android 4.0+) mais aussi Firefox (sur Android 2.3+) qui sont " souvent mis à jour via Google Play. "

Pour autant, changer de navigateur ne règle pas le problème de la faille avec un passage possible par des applications. Il est ainsi demandé aux développeurs de penser à une connexion sécurisée ou de fournir leur propre moteur de rendu sur Android 4.3 et versions antérieures.

Depuis Android 4.4, le composant WebView est basé sur le projet open source Chromium et Adrien Ludwig indique que les fabricants ont rapidement accès aux correctifs fournis par Google. Il ajoute que dans Android 5.0 (Lollipop), ces mises à jour sont directement diffusées via Google Play.

Les arguments de Google ne devraient pas convaincre Tod Beardsley de Rapid7 qui avait demandé à Google de revenir sur cette décision de non-patch. Dans un tweet suite à la justification de Google, il écrit que cela veut dire qu'il est possible de " compiler des backdoors avec des vulnérabilités connues et avoir des applications listées sur le Play Store. "

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1830704
Ce n'est pas faut non plus que combler une faille c'est en ouvrir 2 autres. Il suffit de voir les résultats du spécialiste de la mise à jour pour s'en convaincre.
Le #1830719
D'un côté, on a Google qui publie unilatéralement des failles après X jours d'un concurrent parce que celui n'a pas été assez vite pour les combler et de l'autre, on a Google qui ne corrige ses propres failles parce que 'Oh well, c'est pas évident et potentiellement dangereux'.
Le #1830721
Les gars découvrent que c'est compliqué et source potentielle de problèmes sur un produit plutôt jeune. Ça me fait bien marrer, à se demander qui est à mille lieues de la réalité des entreprises...
Le #1830723
Après avoir fait la leçon à Microsoft avec la divulgation de failles à 90 jours sous Windows, ils osent se trouver des excuses sur la difficulté de combler une faille qui touche 60% des utilisateurs...
Gros foutage de gueule quand même.
Le #1830725
Si ils pouvaient aussi se bouger de publier une 5.1 qui corrige le problème de leak batterie sur les Nexus 5 (problème aléatoire évidemment, sinon ce serait trop simple !), ça serait bien....
Le #1830780
De toute façon les versions antérieures à 4.4 ne seront jamais mise à jour par les constructeurs alors je rigole quand je vois ça car mm si Google faisait le patch il faudrait que tous les constructeurs mettent à jour toutes les ROM pour chacun des téléphones sorties depuis 2 ans ! Et comme les ROM ne sont plus maintenues après 18mois.... Un Gros LOL
Le #1830958
N'empêche qu'après leur buzz de merde envers Microsoft et Apple sur les failles non corrigées et dévoilées au bout de 90 jours, les titre sur le web me font bien sourire :

- Numérama : "Pourquoi Google laissera une faille de sécurité sur 60 % des terminaux Android"
- Linformatique.org : "Google ne corrige plus les failles de sécurité de WebKit pour Android 4.3"
- LesMobiles : "Vulnérabilité d’Android Jelly Bean : Google ne fera rien !"

...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]