Il y a quelques jours, Tod Beardsley de la société de sécurité Rapid7 a fait naître une polémique concernant une vulnérabilité affectant d'anciennes versions du composant WebView alors natif pour Android et pour laquelle Google ne proposera pas de correctif.
En se référant aux statistiques Google Play pour le taux d'adoption des diverses versions d'Android, ce sont ainsi près de 60 % des utilisateurs qui sont concernés, soit les versions antérieures à KitKat (Android 4.4) et donc Jelly Bean parmi celles-ci.
Dans un post publié sur Google+, Adrian Ludwig, ingénieur en chef pour la sécurité Android chez Google, confirme cette décision de ne pas proposer un patch. Rappelons qu'elle expose à de possibles futures attaques les utilisateurs du navigateur Web par défaut des anciennes versions d'Android.
Adrien Ludwig écrit que WebKit représente à lui seul plus de 5 millions de lignes de code et des centaines de développeurs ajoutent de nouvelles contributions chaque mois. " Ainsi, dans certains cas, appliquer des correctifs de sécurité à une branche de WebKit de plus de deux ans nécessite de modifier des portions significatives de code ". " Dans la pratique, cela ne pouvait plus se faire en toute sécurité. "
Autrement dit, Google considère qu'un patch pour ladite vulnérabilité WebView aurait introduit des changements dans le code susceptibles de casser son intégrité. Pour Google, le jeu n'en valait manifestement pas la chandelle.
Le bon conseil d'Adrien Ludwig est donc d'utiliser un navigateur avec son propre moteur de rendu et qui est régulièrement mis à jour. Il cite ainsi Chrome (pris en charge sur Android 4.0+) mais aussi Firefox (sur Android 2.3+) qui sont " souvent mis à jour via Google Play. "
Pour autant, changer de navigateur ne règle pas le problème de la faille avec un passage possible par des applications. Il est ainsi demandé aux développeurs de penser à une connexion sécurisée ou de fournir leur propre moteur de rendu sur Android 4.3 et versions antérieures.
Depuis Android 4.4, le composant WebView est basé sur le projet open source Chromium et Adrien Ludwig indique que les fabricants ont rapidement accès aux correctifs fournis par Google. Il ajoute que dans Android 5.0 (Lollipop), ces mises à jour sont directement diffusées via Google Play.
Les arguments de Google ne devraient pas convaincre Tod Beardsley de Rapid7 qui avait demandé à Google de revenir sur cette décision de non-patch. Dans un tweet suite à la justification de Google, il écrit que cela veut dire qu'il est possible de " compiler des backdoors avec des vulnérabilités connues et avoir des applications listées sur le Play Store. "
