Discussion :

[Michael Guilloux]

Google ne publiera plus de patchs de sécurité pour WebView dans les versions antérieures à Android 4.4 Kitkat
La sécurité de près d'un milliard de smartphones Android menacée


C'est surement une mauvaise nouvelle pour les utilisateurs d'Android qui exécutent des versions antérieures à Android 4.4 Kitkat et une bonne nouvelle pour les pirates qui auront plus de facilité.

Google a récemment pris la décision d'arrêter le développement de correctifs pour les bogues de WebView dans Android 4.3 Jelly Bean et les versions antérieures. Environ 60% des utilisateurs d'Android seront impactés par cette décision.

WebView permet aux applications d'afficher des pages Web sans avoir à ouvrir une autre application. De nombreuses applications et des réseaux publicitaires utilisent le composant. D'ailleurs, l'équipe Google Android préconise l'outil dans sa documentation pour les développeurs sur le rendu des pages Web.

Toutefois, WebView est aussi le vecteur privilégié pour mener des attaques par exécution de code distant dans le système d'exploitation mobile, selon le directeur de l'ingénierie de Rapid7, Tod Beardsley. Des failles de logiciels ont, à plusieurs reprises, été découvertes dans Android et WebView, rendant le manque de mises à jour encore plus dangereux.

Après avoir reçu un rapport d'une nouvelle vulnérabilité dans le WebView antérieur à 4.4 en octobre 2014, les gestionnaires d'incidents Android de Google ont déclaré que la société va laisser aux développeurs externes la tâche de développer des correctifs de sécurité, d'après Beardsley. « Si la version affectée [de WebView] est avant 4.4, nous ne développons généralement pas les patchs nous-mêmes, mais faisons bon accueil à des correctifs » qui prennent en compte les défauts reportés. « Nous ne sommes pas en mesure de mener des actions pour les défauts qui affectent les versions antérieures à 4.4 qui ne sont pas accompagnées d'un patch. »

Cela suppose que la prochaine fois qu'un chercheur ou un pirate trouvera une vulnérabilité dans WebView sur une version Android antérieure à Kitkat, Google ne va pas, lui-même, créer un patch pour la vulnérabilité. Cependant, si quelqu'un d'autre en développe, Google va intégrer ces correctifs dans le code Android Open Source Project. Google les donnera également aux fabricants de téléphones, mais c'est là que sa responsabilité s'arrête.

Android est open source, ce qui signifie techniquement que n'importe qui pourrait créer des patchs, mais les chances que ces correctifs soient distribués par les fabricants d'appareils comme Samsung sont minces, a ajouté Beardsley. La fin du support pour la plupart des utilisateurs d'Android pourrait donc augmenter le nombre d’attaques par téléchargements cachés sur Android.

Pour le directeur de l’ingénierie de Rapid7, la décision de supprimer le support de WebView pour les versions antérieures à Android Kitkat est suicidaire, mais elle trouve une explication dans les objectifs de Google. « Bien sûr, j'espérais qu’abandonner le support de 60% de votre base d'installation serait suicidaire, cependant nous y sommes », a-t-il dit.

Beardsley a ajouté que l’une des raisons pour lesquelles Google a décidé de ne plus fournir de correctifs de WebView pour Jelly Bean et les versions antérieures est que « la meilleure façon de s'assurer que les appareils Android sont en sécurité est de les mettre à jour à la dernière version d’Android », donc de passer par exemple à Android 5.0 Lollipop qui peine à convaincre. Il soupçonne, par ailleurs, que cette décision ait coïncidé avec la sortie de la dernière version d’Android.

Source : Tod Beardsley

Et vous ?

Que pensez-vous de la décision de Google ? Quelles pourraient en être les raisons ?

[tchize_]

La pluspart des mobiles n'étant de toutes façon jamais mis à jour, je ne vois pas ce que cela va changer pour les utilisateurs. Et les mobiles bénéficiant de mises à jour régulières par le constructeur... sont déjà au moins à 4.4

[MasterMbg]

Moi je trouve ça une façon de dire aux utilisateurs des téléphones produits par Google de passer à l'achat des nouveaux! Puis que, moi par exemple j'utilise le Galaxy NEXUS. Déjà je me sentais plus dans ma peau quand j'avais appris que Google aurait arrêté de produire des mises à jour du système donc mon phone devrait rester éternellement en version 4.3. Et aujourd'hui, j'apprends qu'il y aura plus jamais de patchs de sécurité pour WebView dans les versions antérieures à Android 4.4 Kitkat. Comme c'est contraignant...

[Glordim]

C'est a la fois une bonne et une mauvaise nouvelle.

Mauvaise parce qu'évidement il y aura des personnes qui en subiront les conséquences. Sans compter que les constructeurs ne s'embêteront pas à publier des patchs (Ils ont déjà du mal avec les mises à jour majeur, alors les correctifs de sécu qui ne change rien en apparence, n'en parlons pas !).

Mais à la fois une bonne nouvelle car Google fait le choix du progrès. C'est ce que j'aime chez eux, ils ne vont pas s'attarder à faire une éternelle rétrocompatibilité avec des versions totalement obsolète (utilisé par 1% des gens). Evidement dans ce cas il s'agit de 60% des utilisateurs, c'est tout de même osé et audacieux mais c'est vrai que la meilleur façon de se protéger est encore de se mettre à jour.

Bref personnellement je pense que la rétrocompatibilité est un frein au progrès. Les véritables coupables dans cette affaire, ce sont les constructeurs qui à cause de leurs surcouches (rarement utiles et qui n'entrainent que des lag) prennent énormément de temps pour déployer les mises à jour officiels. Et les utilisateurs ne peuvent que subir ou racheter un nouveau modèle.

[Jonyjack]

Sur XDA on trouve des personnes qui modifient des roms d'autres modèles d'une même série pour avoir les MAJ (exemple : ROM du Note 3 porté sur le Note 2).
Et d'autres qui font le portage de CyanogenMod quand ces derniers ne supportent pas l'appareil.
C'est la meilleur façon de garder nos "vieux" appareils.

[stailer]

Je suis un peu inquiet là :

Qu'en est-il des gens qui développent des applis avec Cordova pour IOS ou Android et qui utilisent justement le composant WebView pour afficher leur appli ?
Il n'y aura plus de support mais ce sera toujours intégré ? Ça continuera de fonctionner ? Ces applis seront davantage atteignables par des pirates ?

[jipenunux]

changez d'OS prenez du libre firefox os par exemple !
jipe

[tchize_]

changez d'OS prenez du libre firefox os par exemple !
jipe

Hooo, un troll sauvage, c'est rare. D'habitude ils sont tous domptés et étiquetés, mais là c'est un petit nouveau qui viens de naître. Allez, je te laisse comparer ce que tu viens de dire avec le marché.... Indice, le seul téléphone sous firefox OS est une bouse qui ne tiens même pas une journée d'autonomie....

[jipenunux]

Indice, le seul téléphone sous firefox OS est une bouse qui ne tiens même pas une journée d'autonomie....

bonjour tchize, un p'tit nouveau de 70 ans, qui suit developpez.com depuis pas mal de temps, mais effectivement nouvellement inscrit
bon, c'est sympa de s'entendre appelé comme ça pour firefox os j'en ai un et c'est sur les bases de son utilisation que je disait ça, et pas pour troller.
j'étais sous androide et c'est sympa quand tu vas sur ce lien https://maps.google.com/locationhistory/b/0/ tu retrouves tous tes positionnement date et heure à la centaine de mètres près, super sympa, merci Mr Google (android)
allez bon courage avec des téléphone chicos et chéros, qu'il faut changer tous les deux ans pour pouvoir s'en servir, et qu'on peut pirater sans problème.
libramicalement
jipenunux

[nicroman]

j'étais sous android et c'est sympa quand tu vas sur ce lien https://maps.google.com/locationhistory/b/0/ tu retrouves tous tes positionnement date et heure à la centaine de mètres près, super sympa, merci Mr Google (android)

Effectivement ça tient du troll là....
C'est assez normal quand on active l'historique des positions. Sans cet historique, aussi étrange que cela puisse paraître, ... tout disparaît.
Maintenant, c'est aussi grâce à cet historique que google-now permet de savoir (et il se trompe rarement) ou on s'est garé (et comment y aller le plus vite), ou encore proposer des "temps" d'itinéraire vers les lieux que l'ont fréquente le plus souvent.
Bon bref... alors hint: sans même activer d'historique bizarre, ou quoique ce soit, l'opengraph de facebook permet de retracer la position (avec moins de précision il est vrai) dans le temps d'une personne, rien qu'avec ses posts facebook !

Vous ne voulez pas être "suivi" ? désactivez la localisation.
Vous ne voulez pas donner des infos sur vous sur Internet ? Ne postez rien sur internet. Et d'ailleurs, n'y allez même pas !


Après c'est sur Firefox OS est libre... et vide.... comme en plus c'est du HTML5.... (oui là aussi c'est un troll).

[Michael Guilloux]

Android : Google confirme la fin du support de WebView dans les versions antérieures à KitKat
Il va falloir passer à KitKat ou Lollipop

Google a confirmé son intention de ne plus corriger les vulnérabilités dans WebView pour les versions antérieures à Android 4.4 Kitkat. Cette décision laissant près d'un milliard d'utilisateurs Android à risque, a été confirmée par Adrian Ludwig, de l’équipe de sécurité de Google pour Android, dans un billet Google+ vendredi.

Selon, Ludwig, « maintenir les logiciels à jour est l'un des plus grands défis en matière de sécurité » pour Google. Mais, avec Android Jelly Bean et les versions antérieures, parce que le navigateur est basé sur une version du moteur de navigateur WebKit qui est maintenant âgé de plus de deux ans, la correction de la vulnérabilité WebView va demander beaucoup de changements de code qui peut affecter plus de choses.

« WebKit seul, c’est plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouveaux commits chaque mois, de sorte que dans certains cas, appliquer les correctifs de vulnérabilité à une branche de WebKit ancienne de plus de 2 ans requiert des changements dans des parties importantes du code et il n'était plus pratique de le faire en toute sécurité. » A-t-il écrit.

Cette décision affecte plus de 60% des utilisateurs d'Android, mais selon Adrian, les utilisateurs mettent à niveau leurs dispositifs et la base d'utilisateurs vulnérables diminue chaque jour. Il suggère donc de passer à des versions plus récentes d'Android, à savoir KitKat et Lollipop, pour lesquelles Google travaille pour la livraison de mises à jour de sécurité.

Dans le cas contraire, pour réduire le risque d'exploitation potentielle des vulnérabilités WebKit, il suggère l’utilisation d’un navigateur qui est mis à jour via Google Play, comme Chrome et Firefox, et l'utilisation d'applications qui suivent les meilleures pratiques de sécurité.

En outre, Adrian a suggéré que les développeurs qui ont besoin d'utiliser le composant WebView dans leurs applications devraient l'utiliser seulement pour charger des sites Web sécurisés et de confiance.

Source : Adrian Ludwig via Google+

Et vous ?

Qu’en pensez-vous ?

[tchize_]

pour firefox os j'en ai un et c'est sur les bases de son utilisation que je disait ça, et pas pour troller.

Alors ton post est hors sujet (on parle d'android ici), il est non argumenté (juste faites ceci), il n'y a aucun rapport entre le fait que firefox OS soit libre et les trous de sécurité puisque le problème de base des mises à jour c'est l'équipementier, android est tout aussi libre que firefox OS. Donc oui, ton post est un gros troll velu

[glad33bx]

D'un côté, ils balancent des failles 0 days sur Windows & Mac, de l'autre ils nous disent : nous on corrige pas...

Mouai

[Shuty]

« WebKit seul, c’est plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouveaux commits chaque mois, de sorte que dans certains cas, appliquer les correctifs de vulnérabilité à une branche de WebKit ancienne de plus de 2 ans requiert des changements dans des parties importantes du code et il n'était plus pratique de le faire en toute sécurité. » A-t-il écrit.

C'est triste d'en arriver là, mais le côté business passe souvent devant la sécu...

[Haseo86]

Google : quand une grande gueule hypocrite essaie de se faire passer pour un super héros.

Voilà, c'était mon coup de gueule du jour, la politique et la fausseté de cette entreprise me dégoûte.

[CeluiQuiCode]

J'ai actuellement une tablette sous 4.2.1, et sur le site du constructeur, la dernière màj remonte à mi-2013 ...
Est ce que ça craint de me connecter a Internet, vis à vis de mes comptes Twitter, MS, Evernote, etc ... ?
Dans quelle genre d'utilisation d'android, ces failles / futures failles, peuvent mettre mes datas en danger ?
A part les applis Google Inc, j'ai désinstallé tout le reste

[kiprok]

Dans le cas contraire, pour réduire le risque d'exploitation potentielle des vulnérabilités WebKit, il suggère l’utilisation d’un navigateur qui est mis à jour via Google Play, comme Chrome et Firefox, et l'utilisation d'applications qui suivent les meilleures pratiques de sécurité.

Je n'y connais pas grand chose mais n'est il pas possible pour google de faire en sorte de mettre a jour webkit comme le font chrome et firefox?
J'imagine que ce n'est pas simple car totalement imbriquer mais ne peuvent ils pas trouver une solution de ce genre?
Dans tous les cas c'est à eux de trouver une solution! Ils ont fait des choix d archi, il faut assumer : leur réponse est vraiment lamentable, encore plus en ce moment lorsqu'ils donnent des leçons de secu à leurs concurrents!

[grunk]

Perso ca me choque pas puisqu'il savent pertinemment que les appareils sous ces version d'OS ne seront jamais mis à jour par les constructeurs. Il peuvent donc patcher tout ce qu'il veulent , si c'est pas propagé ça ne sert à rien.
A moins que webview puisse être mise à jour sans màj de l'os auquel cas c'est plus critiquable.

[kiprok]

Perso ca me choque pas puisqu'il savent pertinemment que les appareils sous ces version d'OS ne seront jamais mis à jour par les constructeurs. Il peuvent donc patcher tout ce qu'il veulent , si c'est pas propagé ça ne sert à rien.
A moins que webview puisse être mise à jour sans màj de l'os auquel cas c'est plus critiquable.

C'est ce que je voulais dire, webview "devrait" être mis à jour sans bouger l os... Si ce n est pas le cas ils devraient trouver une solution dans ce sens.

[tchize_]

webview n'est qu'un exemple. Pourquoi webview serait-il le seul. Faudrait aussi pouvoir mettre à jour le SSL sans mettre à jour l'OS, pour les trous de sécurité SSL. Faudrait pouvoir mettre à jour l'écran de verrouillage, au cas où un malin puisse déverrouiller sans taper le code, .... Le problème de base c'est que les constructeurs ont bloqué les mises à jour de l'OS, et on peux les comprendre. Si demain une mise à jour de l'OS déconne sur un de leur appareil, c'est une chiée d'utilisateurs qui va défiler dans le bureau juridique du constructeur

Concernant webview, si les dev d'applications utilisant webview ont peur d'un détournement d'une faille de webview pour télécommander leur app, qu'ils fassent le connexion en https, histoire que personne ne puis manipuler le flux http. Et si c'est l'auteur de l'application qui essaie d'exploiter une faille webview.... Il aura plus vite fait de faire faire directement le travail par son application que d'utiliser webview pour ça.

Une tempête dans une verre d'eau selon moi