Comprendre les correctifs de sécurité WebView et Android

Une récente révélation selon laquelle Google ne développe plus de correctifs de sécurité pour le composant "WebView" d'Android dans Jelly Bean et plus tôt a de nouveau mis en lumière la sécurité d'Android et les défis liés à la sécurisation du milliard d'appareils actifs. Révélée pour la première fois par Metasploit le 12 janvier, la position de Google sur la mise à jour de ce composant Android central a été largement commentée dans les jours suivants.

En quoi consiste exactement WebView et que signifie l'attitude de Google sur les mises à jour de WebView pour les propriétaires d'appareils Android? Et si vous utilisez toujours Jelly Bean, que pouvez-vous faire pour minimiser les risques? Nous allons examiner de manière détaillée après la pause.

Tout d'abord: qu'est-ce que WebView?

Afficher une page Web dans autre chose que Chrome? Il y a de fortes chances que vous cherchiez une WebView.

WebView est la partie du système d'exploitation Android responsable du rendu des pages Web dans la plupart des applications Android. Si vous voyez du contenu Web dans une application Android, il est probable que vous consultiez WebView. La principale exception à cette règle est Google Chrome pour Android, qui utilise son propre moteur de rendu, intégré à l'application. (Il en va de même pour certains navigateurs Android tiers tels que Firefox.)

Dans les versions antérieures d'Android (4.3 et versions antérieures), WebView utilise un code basé sur Webkit d'Apple, technologie identique à celle du navigateur Safari. Dans Android 4.4 et les versions ultérieures, WebView est basé sur Chromium, la base open source de Google Chrome (qui utilise le moteur Google Blink.). Dans Android 5.0, WebView a été divisé en une application distincte, probablement pour permettre des mises à jour ponctuelles via Google Play sans que des mises à jour du microprogramme soient émises.

Que se passe-t-il?

Les chercheurs en sécurité de Metasploit, après avoir découvert plusieurs failles de sécurité dans le composant WebView d'Android 4.3 et les avoir soumises à Google, ont publié un email de [email protected] révélant que Google ne développe généralement pas de correctifs pour les versions de WebView antérieures à Android 4.4..

Les extraits de courrier électronique publiés par le point de vente se lisaient comme suit:

"Si la version affectée est antérieure à 4.4, nous ne développons généralement pas les correctifs nous-mêmes, mais accueillons les correctifs avec le rapport à prendre en compte. Hormis la notification aux équipementiers, nous ne pourrons prendre aucune mesure pour les rapports affectant les versions antérieures à 4.4. ne sont pas accompagnés d'un patch."

Pourquoi est-ce mauvais?

Comme le souligne Metasploit, plus de 60% des appareils Android actifs exécutent actuellement Jelly Bean (Android 4.1-4.3) ou une version antérieure, ce qui les laisse potentiellement ouverts aux logiciels basés sur le Web lors de la navigation dans WebView. Cela est particulièrement inquiétant pour les utilisateurs d’Android 4.3 et des versions antérieures qui utilisent des navigateurs Web de fabricants tels que HTC, Samsung et LG (pour ne nommer que trois), qui utilisent WebViews pour afficher du contenu à partir du Web.

Le fait que Google ne développe pas activement de correctifs pour les anciennes implémentations de WebView signifie qu'il incombe aux constructeurs OEM de corriger eux-mêmes ce problème.

Les propriétaires d’Android 4.0-4.3 qui utilisent des navigateurs autres que WebView tels que Chrome ou Firefox ne seront pas exposés à ces vulnérabilités lorsqu’ils utiliseront le navigateur Web de leur choix. Cependant, ils pourraient toujours être exposés si WebView d'une application tierce les dirigeait vers un site malveillant. Cela est moins probable que de rencontrer un programme malveillant dans le cadre d'une navigation Web régulière. Toutefois, étant donné que des applications très réputées telles que Feedly et Facebook utilisent WebViews pour afficher du contenu tiers, c'est loin d'être impossible.

Numéros de version de la plateforme Android pour le mois se terminant le 5 janvier 2015.

Pourquoi cela a du sens (ou: la réalité de la mise à jour d'Android)

Le vrai problème n'est pas que Google ne mettra pas à jour WebView, mais que de nombreux appareils fonctionnent toujours sous Android 4.3 ou version ultérieure.

Il est facile de confondre le symptôme - vulnérabilités de WebView - avec la cause première. Le vrai problème, ce n’est pas que Google ne mette pas à jour la WebView de Jelly Bean, mais que de nombreux appareils fonctionnent toujours sous Android 4.3 et versions antérieures avec peu de chances d’être mis à jour, quelle que soit l’action entreprise par Google. Même si Google devait émettre des correctifs pour le code WebView de Jelly Bean (et Ice Cream Sandwich et Gingerbread), les utilisateurs attendraient toujours que les constructeurs (et les opérateurs) lancent les mises à jour de microprogrammes, comme ils attendent aujourd'hui sur Android 4.4. Et si les fabricants de ces appareils étaient enclins à publier des mises à jour, il est probable qu'ils ne seraient pas bloqués sous Android 4.3 ou une version antérieure.

Google a résolu le problème de visualisation Web Jelly Bean il y a plus d'un an. Le correctif s'appelle Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 janvier 2015

Du point de vue de Google, le correctif de ce problème a été publié il y a plus d'un an avec l'arrivée d'Android 4.4 KitKat. Dans un monde idéal, il s'agirait du correctif appliqué par les fabricants OEM à leurs téléphones Jelly Bean. Par conséquent, personne ne fonctionnerait sous Android 4.3 ou version antérieure plus d'un an après la disponibilité de la version 4.4. Malheureusement, malgré les efforts déployés sur plusieurs fronts, les mises à jour d'Android restent un peu un jeu d'enfant.

Mais il y a un inconvénient: Google prend des mesures pour rendre WebView plus facile à corriger dans Android 5.0 et les versions ultérieures.

Et maintenant?

Etant donné que Google ne développera pas de correctifs pour la WebView de Jelly Bean, il incombe aux constructeurs OEM de développer et de déployer leurs propres correctifs sur les téléphones et les tablettes concernés. Étant donné que ces appareils utilisent déjà une version assez ancienne du système d'exploitation, nous ne retenons pas notre souffle pour permettre aux fabricants et aux opérateurs de déployer quoi que ce soit dans les meilleurs délais. Et pour être clair, ce serait probablement le cas, que Google développe ou non ses propres correctifs Jelly Bean WebView.

Google a déjà pris des mesures pour s'assurer que WebView peut rester à jour dans Lollipop.

Si vous utilisez Android 4.3 ou une version antérieure, nous vous recommandons de passer à un navigateur qui n'utilise pas WebView, tel que Google Chrome ou Mozilla Firefox. Pour vous protéger dans les autres applications qui utilisent WebViews, il est toujours judicieux d'installer uniquement des applications en lesquelles vous avez confiance et de prendre les précautions de base lorsque vous naviguez sur le Web. Facebook, par exemple, vous permet de désactiver son navigateur intégré et d'ouvrir des liens Web dans le navigateur de votre choix.

En tant que composant Web du système d'exploitation Android qui est difficile à mettre à jour, WebView est une cible évidente pour tous ceux qui souhaitent trouver des exploits Android qui affectent un grand nombre de personnes et qui ne peuvent pas être immédiatement annulés par une mise à jour d'application. C’est sûrement pour cette raison que Google a rendu possible la mise à jour de WebView indépendamment du système d’exploitation sous Android 5.0 et au-delà. Si des vulnérabilités similaires étaient découvertes dans la WebView de Lollipop, Google diffuserait simplement une mise à jour via le Play Store. Cependant, en raison de la nature d'Android, il faudra du temps pour que Lollipop soit aussi répandue que Jelly Bean. Et cela signifie qu'il faudra peut-être des années avant que la majorité des utilisateurs d'Android bénéficient de la nouvelle implémentation modulaire de WebView.