La WebView est un composant d’Android présent dans toutes les versions de l’OS mobile. Il s’agit d’un module permettant d’afficher du HTML, du CSS ou d’exécuter du Javascript, bref d’afficher une page web, sans avoir à développer cet affichage soi-même. Jusqu’à Android 4.3, la WebView utilisait une version différente de Webkit, différente en tout cas de celle de Chrome. Depuis Android 4.4, la WebView utilisée provient de Chromium. Il est toutefois possible d’utiliser l’ancienne version de la WebView dans Android 4.4, notamment lorsque le développeur de l’application l’a rendue compatible avec les versions précédentes d’Android.
C’est bien cette ancienne WebView qui nous intéresse ici. Selon le cabinet d’étude spécialisé dans la sécurité Rapid7, Google a non seulement arrêté les mises à jour de l’ancienne WebView mais compte en plus ne plus corriger les éventuelles failles de sécurité. Concrètement, Google va uniquement mettre à jour et corriger tout ce qui concerne la WebView à partir de Android 4.4 et les nouvelles versions d’Android. Google lui-même l’a confirmé à Rapid 7, par l’intermédiaire de l’adresse email security@android.com :
“Si la version de WebView affectée date d’avant Android 4.4, nous ne développons généralement pas de patch nous-mêmes, mais nous prévenons nos partenaires du problème rencontré.”
Le problème, c’est que Rapid7 trouverait régulièrement des failles ou des vulnérabilités au sein de l’ancienne version de WebView. Et que, affirme Rapid7, Google aurait arrêté de faire ces mises à jour pour des raisons purement commerciales, afin de pousser les utilisateurs à basculer sur des smartphones plus récents dotés des versions les plus récentes d’Android. Ce qui représenterait actuellement plus de 60 % du parc d’utilisateur Android, soit près d’un milliard d’utilisateurs.
Cependant Rapid7 n’indique pas la nature ni la gravité des failles et des vulnérabilités que le cabinet trouve régulièrement au sein de WebView. Dans les faits, que risquent réellement les utilisateurs de “vieilles” versions d’Android ? Nous avons posé la question à Pierre-Olivier Dybman, développeur Android :
« La WebView est toujours un facteur de tourment pour les éditeurs de plateformes logicielles pour deux raisons. La première, c’est que cette dernière se doit d’accepter du contenu exécutable venant de l’extérieur (fichiers Javascript, etc.). La seconde raison, c’est que souvent, des ponts entre la plate-forme et la WebView sont construits afin de permettre à JavaScript d’accéder à des fonctions natives. C’est par exemple le cas sur Android. Par le passé, Google a dû corriger plusieurs failles assez sérieuses et a parfois mis beaucoup de temps à fournir les patchs. Toutefois, aujourd’hui la WebView d’Android 4.3 et moins n’est pas, à notre connaissance, vulnérable à des failles graves et exploitables de façon automatique. Je pense que ce qu’il faut comprendre de la réponse de Google et notamment de l’utilisation du mot “généralement”, c’est qu’à moins que l’on démontre l’existence d’une faille majeure exploitable de façon répétable et à distance, ils ne mettront pas les mains dans le cambouis. »
La dernière solution pour combler ces failles provient des développeurs eux-même. Une partie du code d’Android étant open source, il est tout à fait possible pour des développeurs motivés de coder eux-mêmes des correctifs et de proposer une WebView corrigée. Il est hélas peu probable que ces derniers soient enclins à combler chaque nouvelle faille découverte.
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
[…] les faits. Il y a deux semaines environ, le cabinet d’étude Rapid7 expliquait que l’ancienne WebView présente au sein des versions d’Android 4.3 et des versions précédentes […]
A quand un module xposed pour corriger ça? :D
ffah<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Effectivement, avec de genre de politique c'est ne rien faire qui finira par coûter très cher, les consommateurs partiront en masse vers iOS et Windows Phone.
Mais non, c'est une idée (poodle) xD<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
T'as vraiment rien compris ou tu troll.
>> Faire une mise à jour ça coûte très cher et ça ne rapporte rien. Avec cette mentalité, Google (et les constructeurs) ne pourront démontrer qu'Android est un système fiable.
Tout est dit !
Android la passoire !! lol et après on critique MS ou Apple qui tardent dans les correctifs...
et c'est justement un problème majeur que Google doit réglé au plus vite, on parle faille de sécurité ici.
Je suis sûr que Mme Michu qui revient de la boutique Bouygues du coin va immédiatement s'empresser d'aller créer un compte sur GitHub histoire de télécharger les dernières source de sa rom préféré. Non mais sérieux...
Il ne capte pas aussi que c'est de l'open source contrairement a Windows ou seul Microsoft peut intervenir. Google a clairement indiqué que, bien qu'eux même ne corrigerait pas le probleme, n'importe lequel de leur partenaires peut faire la correction et elle sera intégré au source commun (AOSP).
Les webview étant des composants natifs d'android, pour les mettre à jour il faut que google publie de nouvelles version d'android que les constructeurs les prennent en charge et qu'ils fassent les mise à jours sur leurs téléphones. Les téléphones ne tournant pas sous kitkat actuellement sont pour la plus part des téléphones qui ne seront plus mise à jour par les constructeurs car trop vieux maintenant. Donc même si google mettait à jour les web view pour chaque version d'android (4.0 =>4.3 on va dire) il y a très peu de chances pour que les constructeurs suivent. De toute manière les webview c'est utilisé pour les app qui n'en sont pas réellement et on sort jamais du site de l'app ou dans des navigateurs qui peuvent intégrer leur propre webview plutôt que d'utiliser la native (je pense qu'ils font ça pour la plus part...).
quels constructeurs feront l'effort? Quand on voit qu'il faut en moyenne 4 mois pour avoir la dernière version sur des appareils de moins d'un an .. je doute qu'ils fassent quelque chose sur des versions antérieurs...
La différence que tu ne sembles pas saisir c'est que Microsoft met lui même a jour les versions de windows. Dans le cas de Google ce sont les constructeurs. Dans ce cas un patch de Google sur les anciennes versions d'Android n'impliquerait en aucun cas que ce patch soit reçu par les utilisateurs. Ils ne souhaitent pas faire un patch que les utilisateurs ne verront jamais, je les comprends.
Google a mis Microsoft au pied du mur avec une faille découverte dans Windows il y a peu. Il se permettait de donner des leçons sur la façon dont Microsoft devait patcher cette faille. Windows XP, Windows Vista, Windows 7 ou Windows 8 ont tous des supports de sécurité sur plusieurs années, le support d'Xp s'est arreté cette année après plus de 10 ans de support. Le secteur des smartphone et tablette est beaucoup plus dynamique et on peu comprendre que le support soit moins long mais Google pourrait quand même faire un effort pour des version d'android il y a à peine 2 ans (surtout lorsque ca concerne la majorité du parc installé de machine).
Même si Google corrige la faille, les constructeurs ne sortiront pas de patch pour leurs modèles anciens. Le problème commercial vient des constructeurs, pas de Google. Faire une mise à jour ça coûte très cher et ça ne rapporte rien. Les constructeurs consciencieux feront de toutes façons l'effort, avec ou sans l'aide de Google.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix