Android : 60 % des appareils vulnérables à de futures attaques ?

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Android : 60 % des appareils vulnérables à de futures attaques ?

Publié le 13 janvier 2015 à 16:10 par Jérôme G.

Lire sur mobile

Google a mis fin au support d'anciennes versions du composant natif WebView pour Android. Le problème est que cette fin de support pré-KitKat touche plus de 60 % des terminaux Android.

Voilà qui va donner des munitions à Apple pour tirer sur Google et le système d'exploitation mobile Android. Face aux critiques de la firme à la pomme concernant la sécurité d'Android en raison de sa fragmentation, Google a vanté la présence des Google Play Services afin d'apporter à toutes les versions des corrections de sécurité. Mais ce discours est aujourd'hui quelque peu brouillé.

Lundi, Tod Beardsley de Rapid7 - qui propose l'outil de test d'intrusion Metasploit - a publié un billet de blog dans lequel il indique que l'équipe de sécurité de Google ne proposera plus de correctifs afin de combler des vulnérabilités affectant WebView pour Android 4.3 et ses versions antérieures.

Il y a de quoi tiquer sachant que le taux d'adoption des versions qui sont donc antérieures à KitKat est encore de plus de 60 % avec la forte représentativité de Jelly Bean. Et pour Tod Beardsley, WebView est indéniablement un vecteur d'attaque.

WebView est un composant de base du système d'exploitation mobile pour le rendu des pages Web. Il est ainsi également appelé par les applications qui affichent une page Web. KitKat (Android 4.4) a introduit un nouveau composant WebView basé sur le projet open source Chromium.

Le framework Metasploit contient une dizaine d'exploits WebView. C'est en découvrant une nouvelle vulnérabilité dans WebView pré-version 4.4 que les chercheurs en sécurité de Rapid7 ont appris de Google :

" Si la version (de WebView) est antérieure à la 4.4, nous ne développons généralement pas de correctifs nous-mêmes […]. En dehors de prévenir nos partenaires OEM (ndlr : les fabricants), nous ne serons pas en mesure d'agir. "

S'il faut compter sur les fabricants pour proposer des correctifs, l'expérience montre jusqu'à présent que cela peut être long (et si correctif il y a). De quoi dès lors s'inquiéter pour de futures attaques ?

Tous les experts en sécurité ne s'accordent pas forcément sur ce point. Si le risque existe, ils rappellent que les principales méthodes d'attaque demeurent l'installation d'applications fausses ou malveillantes obtenues de sources non sûres (contrairement au Google Play). Tod Beardsley demande en tout cas à Google de revenir sur sa décision.

Hasard du calendrier, cette brouille intervient alors que Microsoft reproche au Project Zero de Google d'avoir divulgué publiquement une vulnérabilité de sécurité affectant Windows 8.1 deux jours avant la diffusion d'un patch.