Android : 60 % des appareils vulnérables à de futures attaques ?

Le par  |  17 commentaire(s)
malware_Android_BT-GNT

Google a mis fin au support d'anciennes versions du composant natif WebView pour Android. Le problème est que cette fin de support pré-KitKat touche plus de 60 % des terminaux Android.

Voilà qui va donner des munitions à Apple pour tirer sur Google et le système d'exploitation mobile Android. Face aux critiques de la firme à la pomme concernant la sécurité d'Android en raison de sa fragmentation, Google a vanté la présence des Google Play Services afin d'apporter à toutes les versions des corrections de sécurité. Mais ce discours est aujourd'hui quelque peu brouillé.

JellyBean-GNTLundi, Tod Beardsley de Rapid7 - qui propose l'outil de test d'intrusion Metasploit - a publié un billet de blog dans lequel il indique que l'équipe de sécurité de Google ne proposera plus de correctifs afin de combler des vulnérabilités affectant WebView pour Android 4.3 et ses versions antérieures.

Il y a de quoi tiquer sachant que le taux d'adoption des versions qui sont donc antérieures à KitKat est encore de plus de 60 % avec la forte représentativité de Jelly Bean. Et pour Tod Beardsley, WebView est indéniablement un vecteur d'attaque.

WebView est un composant de base du système d'exploitation mobile pour le rendu des pages Web. Il est ainsi également appelé par les applications qui affichent une page Web. KitKat (Android 4.4) a introduit un nouveau composant WebView basé sur le projet open source Chromium.

Le framework Metasploit contient une dizaine d'exploits WebView. C'est en découvrant une nouvelle vulnérabilité dans WebView pré-version 4.4 que les chercheurs en sécurité de Rapid7 ont appris de Google :

" Si la version (de WebView) est antérieure à la 4.4, nous ne développons généralement pas de correctifs nous-mêmes […]. En dehors de prévenir nos partenaires OEM (ndlr : les fabricants), nous ne serons pas en mesure d'agir. "

S'il faut compter sur les fabricants pour proposer des correctifs, l'expérience montre jusqu'à présent que cela peut être long (et si correctif il y a). De quoi dès lors s'inquiéter pour de futures attaques ?

Tous les experts en sécurité ne s'accordent pas forcément sur ce point. Si le risque existe, ils rappellent que les principales méthodes d'attaque demeurent l'installation d'applications fausses ou malveillantes obtenues de sources non sûres (contrairement au Google Play). Tod Beardsley demande en tout cas à Google de revenir sur sa décision.

Hasard du calendrier, cette brouille intervient alors que Microsoft reproche au Project Zero de Google d'avoir divulgué publiquement une vulnérabilité de sécurité affectant Windows 8.1 deux jours avant la diffusion d'un patch.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1828477
De toute façon ces appareils n'ont jamais été très sécurisés. Ce n'est pas quelques failles qui vont changer le monde, tout au plus l'idée que certains s'en faisaient...
Le #1828481
Est ce que quelqu'un utilise AVAST pour la mise à jour des logiciels installés comme sur PC ?
Le #1828507
Les webview étant des composants natifs d'android, pour les mettre à jour il faut que google publie de nouvelles version d'android que les constructeurs les prennent en charge et qu'ils fassent les mise à jours sur leurs téléphones.
Les téléphones ne tournant pas sous kitkat actuellement sont pour la plus part des téléphones qui ne seront plus mise à jour par les constructeurs car trop vieux maintenant.

Donc même si google mettait à jour les web view pour chaque version d'android (4.0 =>4.3 on va dire) il y a très peu de chances pour que les constructeurs suivent.

De toute manière les webview c'est utilisé pour les app qui n'en sont pas réellement et on sort jamais du site de l'app ou dans des navigateurs qui peuvent intégrer leur propre webview plutôt que d'utiliser la native (je pense qu'ils font ça pour la plus part...).
Le #1828531
Bobinette24 a écrit :

Les webview étant des composants natifs d'android, pour les mettre à jour il faut que google publie de nouvelles version d'android que les constructeurs les prennent en charge et qu'ils fassent les mise à jours sur leurs téléphones.
Les téléphones ne tournant pas sous kitkat actuellement sont pour la plus part des téléphones qui ne seront plus mise à jour par les constructeurs car trop vieux maintenant.

Donc même si google mettait à jour les web view pour chaque version d'android (4.0 =>4.3 on va dire) il y a très peu de chances pour que les constructeurs suivent.

De toute manière les webview c'est utilisé pour les app qui n'en sont pas réellement et on sort jamais du site de l'app ou dans des navigateurs qui peuvent intégrer leur propre webview plutôt que d'utiliser la native (je pense qu'ils font ça pour la plus part...).


il y a 200% de chances que les anciens téléphones n'aient pas cette mise à jour !

Car en plus de version constructeurs il y a aussi et encore des versions "fournisseurs d'accès" qui sont misent à jour encore moins vite ou plus mla tout dépends comment on voit la chose..
Le #1828542
Truffor a écrit :

De toute façon ces appareils n'ont jamais été très sécurisés. Ce n'est pas quelques failles qui vont changer le monde, tout au plus l'idée que certains s'en faisaient...


bah ouais, comme les pc sous windows quoi...

sauf que la c est 100% qui sont vulnerables...
Anonyme
Le #1828552
lepingouinenfolie a écrit :

Truffor a écrit :

De toute façon ces appareils n'ont jamais été très sécurisés. Ce n'est pas quelques failles qui vont changer le monde, tout au plus l'idée que certains s'en faisaient...


bah ouais, comme les pc sous windows quoi...

sauf que la c est 100% qui sont vulnerables...


Faudra voir ce que "les copains de XDA" proposeront comme solution de rechange, à moins que le poids de la communauté fasse changer Google d'avis...
Le #1828597
Arobase40 a écrit :

lepingouinenfolie a écrit :

Truffor a écrit :

De toute façon ces appareils n'ont jamais été très sécurisés. Ce n'est pas quelques failles qui vont changer le monde, tout au plus l'idée que certains s'en faisaient...


bah ouais, comme les pc sous windows quoi...

sauf que la c est 100% qui sont vulnerables...


Faudra voir ce que "les copains de XDA" proposeront comme solution de rechange, à moins que le poids de la communauté fasse changer Google d'avis...


bha je leur fais confiance, chaque fois que google a arrete le support, ils ont repris la suite, donc je ne m en fais pas ...

mais tous mes tels sont sous kitkat, y compris mon vieux Desire donc...
Le #1828605
Google, fais ce que je dis mais pas ce que je fais
Le #1828671
lepingouinenfolie a écrit :

Truffor a écrit :

De toute façon ces appareils n'ont jamais été très sécurisés. Ce n'est pas quelques failles qui vont changer le monde, tout au plus l'idée que certains s'en faisaient...


bah ouais, comme les pc sous windows quoi...

sauf que la c est 100% qui sont vulnerables...


Pour info :

http://generationmobiles.net/2014/11/15/ios-et-android-tombent-windows-phone-resiste-lors-dune-competition-de-hackeurs/

trololololo ?
Anonyme
Le #1828681
Truffor a écrit :

lepingouinenfolie a écrit :

Truffor a écrit :

De toute façon ces appareils n'ont jamais été très sécurisés. Ce n'est pas quelques failles qui vont changer le monde, tout au plus l'idée que certains s'en faisaient...


bah ouais, comme les pc sous windows quoi...

sauf que la c est 100% qui sont vulnerables...


Pour info :

http://generationmobiles.net/2014/11/15/ios-et-android-tombent-windows-phone-resiste-lors-dune-competition-de-hackeurs/

trololololo ?


POUR UNE FOIS qu'il résiste... sous Windows Phone..., jusqu'au prochain concours, mais je constate que tu évites de signaler les faiblesses de I.E sur PC, hein...

trololololo
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]