Ce problème est résolu dans Android 4.4 et 5.0, mais plus de 60% des appareils Android sont bloqués sur des appareils qui ne reçoivent aucun correctif de sécurité.
Pourquoi Google ne corrige-t-il plus le navigateur d'Android 4.3?
Les mises à jour du système d'exploitation Android sont un désordre. Les fabricants mettent en vente un grand nombre de téléphones différents et modifient considérablement le code. Google ne peut pas simplement mettre à jour le système d’exploitation de votre appareil. Ils peuvent uniquement émettre un nouveau code et espérer que le fabricant de l’appareil et votre opérateur de téléphonie mobile s’efforceront de vous le fournir.
Traditionnellement, la plupart des composants Android ont été intégrés au niveau du système d'exploitation. Cela inclut le navigateur Web intégré, appelé «Navigateur». Il est important de noter que le navigateur lui-même et le moteur de rendu sous-jacent sont intégrés au système d'exploitation. Le moteur de navigateur est utilisé dans chaque application Android utilisant un navigateur Web intégré, appelé «WebView».
Ce navigateur intégré est basé sur une ancienne version de WebKit et une faille sérieuse a récemment été découverte et signalée à Google. Google n'a aucun moyen de fournir une mise à jour directement aux utilisateurs d'Android pour résoudre ce problème. Ce problème doit être résolu via une mise à jour du système d'exploitation, ce qui oblige les fabricants de périphériques et les opérateurs à effectuer le travail.
Malheureusement, même lorsque Google publiait le code de mise à jour de sécurité pour le navigateur d’Android 4.3, de nombreux fabricants d’appareils n’avaient peut-être même pas envoyé les correctifs à leurs utilisateurs. La seule chose qui sauve, c’est que Google Chrome est livré avec de nombreux appareils Android et que les utilisateurs sont en sécurité s’ils utilisent Chrome sur ces appareils, mais pas avec d’autres applications dotées de navigateurs Web intégrés.
La plupart des utilisateurs d'Android sont bloqués, mais Android 4.4 et plus récent sont corrigés
Google s’efforce de réduire l’importance des mises à jour Android OS et de sortir davantage de fonctionnalités du système d’exploitation principal afin de les mettre à jour via Google Play. Sous Android 4.4, le navigateur intégré peut être rapidement mis à jour par les fabricants d’appareils avec un tout petit correctif. Dans Android 5.0, le navigateur est mis à jour par Google directement via Google Play.
Mais plus de 60% des appareils utilisent Android 4.3 ou version antérieure, selon les chiffres de Google. Google n’a pas publié de «correctif» pour Android 4.3, mais si c’était le cas, il incomberait aux fabricants de téléphones et aux opérateurs de téléphonie mobile de le diffuser. Vraiment, Google considère que la mise à jour des appareils vers Android 4.4 est la solution, et les fabricants d'appareils devraient plutôt y travailler.
Nous ne voulons pas absoudre Google ici. Construire le navigateur profondément dans le système d’exploitation afin qu’il ne puisse pas être rapidement mis à jour pour réparer les failles de sécurité était une décision terrible, et nous ne pouvons que nous réjouir qu’ils aient maintenant changé la façon dont les versions modernes d’Android fonctionnent. Les fabricants d’appareils et les fournisseurs de services cellulaires méritent en grande partie la responsabilité de ne pas mettre à jour les appareils rapidement. Si vous avez acheté un téléphone sur un contrat de deux ans, il devrait au moins mettre à jour l'appareil avec des mises à jour de sécurité pour la durée du contrat!
Comment rester en sécurité sur Android 4.3 et les versions précédentes
Mais ce n’est pas seulement un débat intéressant entre Google et les professionnels de la sécurité en ligne. La réalité est que la plupart des utilisateurs d'Android utilisent un navigateur Web vulnérable, et vous en faites peut-être partie. Voici ce que vous pouvez faire pour rester le plus en sécurité possible:
- Installer et utiliser un navigateur Web différent: N’utilisez pas l’application intégrée «Navigateur» pour naviguer sur le Web. Au lieu de cela, installez un navigateur comme Mozilla Firefox ou Google Chrome à partir de Google Play. Chrome ne fonctionne que sur Android 4.0 et supérieur, mais Mozilla Firefox fonctionne toujours sur Android 2.3 Gingerbread. Ces navigateurs incluent leurs propres moteurs de rendu, ils n’utilisent donc pas le moteur de navigateur du système. Ils sont également fréquemment mis à jour via Google Play. Vous trouverez probablement ces navigateurs plus rapides que le navigateur intégré si vous avez un appareil plus ancien avec le code de navigateur intégré plus ancien, de toute façon!
- Évitez de naviguer avec les navigateurs Web intégrés: Le simple fait d’utiliser un navigateur tiers ne résout pas tout, car vous serez toujours exposé au risque si vous utilisez un navigateur Web intégré dans une application. Ceux-ci utilisent la «WebView» du système, qui est vulnérable. Évitez de naviguer avec les navigateurs intégrés si vous avez une version vulnérable d'Android. S'en tenir à une application de navigateur dédiée comme Firefox ou Chrome.
Google a en fait recommandé aux développeurs d'applications Android de combiner les moteurs de navigateur dans leurs applications sous Android 4.3 et versions antérieures. C’est la seule façon pour eux de s’assurer que leurs navigateurs intégrés sont sûrs et sécurisés. C'est un sale coup du code de navigateur en décomposition dans Android lui-même. C’est une recommandation assez folle, mais les développeurs voudront peut-être en tenir compte, surtout si la sécurité est particulièrement importante pour l’application.
Alors, quel risque cela représente-t-il vraiment? Eh bien, nous n’avons encore entendu parler d’aucun exploitant. Mais le signal clair de Google que 60% de tous les appareils Android actuels ne recevront pas de correctifs de sécurité du navigateur a certainement été bien accueilli par les attaquants.Nous nous attendons à ce que les exploits des navigateurs Android fassent leur chemin dans diverses collections d’explosions grand public, car l’abandon du navigateur utilisé par la plupart des appareils Android laisse une faille béante qui peut être exploitée librement sans risque que des correctifs ne résolvent les problèmes.
C’est un peu comme les problèmes de sécurité liés à l’utilisation de Windows XP: si Windows XP était encore utilisé par la majorité des utilisateurs lorsqu’il a été abandonné. Oui, l'écosystème Android est un gâchis. Il devrait être possible pour Google d’obtenir des mises à jour de sécurité du navigateur pour leurs utilisateurs, mais ce n’est pas le cas.
