La semaine dernière, des chercheurs en sécurité chez Alert Logic ont publié le code permettant d'exploiter le navigateur WebKit Android sur les téléphones et les appareils fonctionnant sous Android 2.1 ou version antérieure. L'exploit n'est pas le problème le plus sérieux jamais publié - il semble donner à quelqu'un qui exploite un serveur Web et qui écoute sur un port donné la possibilité de voir l'historique de votre navigateur et de votre scanner multimédia - mais il doit être résolu rapidement.
C'est pourquoi Google l'a corrigé - au printemps, lorsque Froyo a été annoncé. Apple l'a corrigé aussi. Je ne trouve pas de documentation, mais je suis à peu près sûr que HPalm l’a également fait. J'en parlerai un peu plus après la pause. Merci Dave!
J'utilise Linux, donc je suis peut-être un peu blasé, je voulais juste le dire tout de suite. J'imagine qu'un certain nombre d'exploits et de failles de sécurité ont été discutés et rendus publics cette semaine à HouSecCon - une conférence sur la sécurité tenue à Houston. Je m'attends à ce que les fournisseurs d'applications, les responsables du noyau Linux, les ingénieurs en logiciel Microsoft, les ingénieurs Apple et tous les autres acteurs de la création de logiciels s'attachent à les corriger, y compris ceux qui travaillent sur Android. Toute personne utilisant Windows, Mac OS ou Linux obtiendra bientôt ces correctifs sous la forme de mises à jour de système d'exploitation. Des entreprises comme Adobe ou Mozilla nous enverront bientôt des correctifs.
Le mobile est un peu différent. Les utilisateurs d'iOS devront attendre un peu plus longtemps pour corriger les failles éventuelles du système d'exploitation, mais une fois que c'est fait, Apple le déploiera et tout le monde peut prendre une heure et se mettre à jour s'il le souhaite. Si nécessaire, Google obtiendra une mise à jour d'OTA pour les utilisateurs de Nexus One et fera valider tous les correctifs dans la base de code. En raison de la complexité d'un système d'exploitation mobile, il peut prendre environ un mois pour obtenir l'un de ces correctifs, et je peux vivre avec.
Mais qu'en est-il des transporteurs? Si je sors aujourd'hui et achète un téléphone Android, il y a de fortes chances qu'il ne fonctionne pas avec Froyo. Selon le modèle, il se peut qu’il n’exécute jamais Froyo. Cela signifie que naviguer sur Internet avec le navigateur Web intégré n’est pas sûr. Oui, je l'ai dit. La faille est dans le code Webkit, il est donc possible que les navigateurs tiers soient également dangereux. Qu'est-ce que les transporteurs attendent de nous, puisqu'ils n'offrent actuellement aucune alternative?
Les app stores propriétaires et les ballonnements sont agaçants. Beaucoup appellent cela la fragmentation lorsque les opérateurs se salissent les mains et se font passer pour le code source Android. J'appelle ce choix - choisissez avec votre portefeuille. C'est un peu différent Je vous appelle, opérateurs. Comment allez-vous vous occuper de tous vos abonnés avec des téléphones que vous ne pouvez pas ou ne voudrez pas mettre à jour? Vous êtes toujours au milieu d'un contrat de service long et coûteux, mais vous ne pouvez pas utiliser Internet sans s'exposer aux problèmes de sécurité? Qu'en est-il de ces téléphones sur vos étagères? Laisser vos utilisateurs en attente est une erreur, et tous ceux qui sont proactifs et qui prennent les mesures nécessaires pour résoudre ce type de problèmes se retrouvent avec un téléphone très coûteux sans garantie. Prenez les devants et gagnez une partie de cet argent que vous gagnez de nous, utilisateurs d'Android.
Tous ceux d'entre vous qui en ont assez et qui sont prêts à régler eux-mêmes leurs problèmes, sautez sur les forums. Il y a une très bonne raison de s'enraciner maintenant.
