Google abandonne 60% de ses utilisateurs Android à une faille de sécurité

Vous utilisez un smartphone sous Android datant de quelques années ou un peu low cost, attention, une faille se cache peut-être dans votre téléphone.

Selon Rapid7 , cabinet d’études et d’experts en sécurité, la version Jelly Bean 4.3, d’Android constitue un danger pour les utilisateurs de smartphones et tablettes sur lesquels elle est installée.

Sous celle-ci, le navigateur par défaut, qui s’appelait alors Android, comporte une faille de sécurité.

Au global, 60% des utilisateurs d’Android seraient concernés, ce qui fait au total 930 millions de terminaux, pourtant, Google a indiqué qu’il ne ferait rien pour corriger cette faille de sécurité.

Pourquoi ?

Car le bug en question touche plus particulièrement WebView.

webview c’est quoi ?
Un composant permettant d’afficher des pages web sur lequel est basé Android.

Mais la faille concerne uniquement les anciennes versions de Webview, fonctionnant avec « Webkit », un moteur de rendu créé par Apple et utilisé par de nombreuses sociétés.

Quelle solution ont alors les millions d’utilisateurs de Jelly Bean pour naviguer en toute sécurité ?
Eh bien tout simplement ne plus utiliser le navigateur par défaut de cette version d’Android et reporter leur choix sur Firefox ou Chrome.

Le mieux reste cependant de faire une mise à jour vers la version 4.4 d’Android, mais celle-ci n’est pas proposée sur tous les modèles de smartphones par les constructeurs.

Cela ne résoudra toutefois pas tous les problèmes puisque certaines applications se servent du navigateur par défaut d’Android 4.3 pour ouvrir des pages web.

Adrian Ludwig propose donc tout simplement aux développeurs de restreindre cet usage.

Pas certains que ce soit la réponse qu’ils attendaient de la part d’une société dotée d’aussi importants moyens que Google.

Depuis la mise à jour Android 4.4 de 2013, les smartphones de Google ont pour navigateur Chrome et ne fonctionne donc plus avec le fameux Webkit, qui a entre temps subi de nombreuses modifications.

Même si Google a été averti, l’entreprise ne compte pas corriger les erreurs des versions antérieures à 4.4.

Adrian Ludwig, chargé de la sécurité sur Android, conseille ainsi aux utilisateurs d’anciennes versions d’Android de mettre à jour leur téléphone ou, si ce n’est pas possible, de changer de navigateur.

Pratique trop risquée

[quote]Il explique que réparer cette faille « n’est pas réalisable en toute sécurité » car « Webkit seul, c’est plus de 5 millions de lignes de codes et des centaines de développeurs qui ajoutent chaque mois des milliers de modifications ».

De plus, l’ancienneté du système complique les choses car une correction impliquerait « des changements nécessaires de parties importantes du code », c’est une opération assez complexe qui comporte des risques de sécurité.

En gros, une mise à jour exposerait le système à encore plus de problèmes au lieu de l’en protéger, affirme-t-il.[/quote]

La compagnie assure aussi que « chaque jour, avec les avancées de la version Android 4.4, le nombre de personnes affectées rétrécit ».

Peu de raisons pour la compagnie de prendre des risques donc, d’autant plus que cela pourrait inciter les consommateurs à se munir de modèles plus récents.

Pour autant, note le cabinet Rapid7, cette faille non corrigée est une vraie aubaine pour des pirates malintentionnés, les détails de la faille ayant été rendue publique… en espérant une correction rapide.