Android : pourquoi Google ne corrigera plus les vulnérabilités de WebView

Par
Le 26 janvier 2015
 0
Google a tenu à préciser la raison pour laquelle les développeurs ont pris le parti de ne plus corriger les failles au sein des anciennes versions de WebView affectant pourtant plusieurs centaines de millions d'utilisateurs d'Android.

00af000005286704-photo-logo-android-4-1-jelly-bean.jpg
Un peu plus tôt ce mois-ci, nous apprenions que l'équipe chargée de veiller à la sécurité d'Android avait décidé de ne pas déployer de correctif pour une faille repérée au sein d'Android 4.3 Jelly Bean. Celle-ci affecte le composant WebView permettant d'afficher le contenu Web. Ce moteur de rendu a été revu et articulé sur Chromium à partir d'Android 4.4, mais reste encore utilisé sur les éditions précédentes de l'OS mobile.

Interrogé par le cabinet de sécurité Rapid7, Google expliquait : « Si la version de WebView affectée date d'avant 4.4, nous ne développons généralement pas de patchs nous-mêmes mais nous informons nos partenaires du problème. ». Selon les chiffres officiellement partagés par Google, on estime à plus de 900 millions le nombre de terminaux dont la prise en charge de WebView a été stoppée et qui sont donc potentiellement vulnérables sans disposer officiellement de correctif.

Adrian Ludwig, de l'équipe d'Android Security, rappelle que Google met des correctifs à disposition pour les deux dernières versions majeures d'Android (Android 4.4 et 5.0) au sein du projet open source (AOSP) et en les déployant directement auprès de ses partenaires.

Il ajoute que jusqu'à récemment, Google assurait la rétro-compatibilité du moteur de rendu WebKit utilisé au sein de WebView sur Android 4.3 et versions précédentes. « Mais à lui seul WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de changements chaque mois », affirme M.Ludwig. Pour les développeurs de Google, le déploiement de correctifs sur une version de WebKit datant de plus de deux ans se traduisait parfois par la modification d'une grosse portion de code ; une pratique jugée de moins en moins sécurisée.

L'homme conseille de paramétrer un navigateur par défaut mis a jour régulièrement et ne faisant pas usage de WebView (Chrome, Opera, Firefox...) et de limiter l'usage de WebView à des applications de confiance, c'est-à-dire en se contentant de celles disponibles sur Google Play.

Smartphone Android : découvrez des offres à bas prix sur notre comparateur de prix !

  • Retour en vidéo sur Android 5.0 Lollipop

Modifié le 01/06/2018 à 15h36

Les dernières actualités Smartphone Android

scroll top