Interrogé par le cabinet de sécurité Rapid7, Google expliquait : « Si la version de WebView affectée date d'avant 4.4, nous ne développons généralement pas de patchs nous-mêmes mais nous informons nos partenaires du problème. ». Selon les chiffres officiellement partagés par Google, on estime à plus de 900 millions le nombre de terminaux dont la prise en charge de WebView a été stoppée et qui sont donc potentiellement vulnérables sans disposer officiellement de correctif.
Adrian Ludwig, de l'équipe d'Android Security, rappelle que Google met des correctifs à disposition pour les deux dernières versions majeures d'Android (Android 4.4 et 5.0) au sein du projet open source (AOSP) et en les déployant directement auprès de ses partenaires.
Il ajoute que jusqu'à récemment, Google assurait la rétro-compatibilité du moteur de rendu WebKit utilisé au sein de WebView sur Android 4.3 et versions précédentes. « Mais à lui seul WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de changements chaque mois », affirme M.Ludwig. Pour les développeurs de Google, le déploiement de correctifs sur une version de WebKit datant de plus de deux ans se traduisait parfois par la modification d'une grosse portion de code ; une pratique jugée de moins en moins sécurisée.
L'homme conseille de paramétrer un navigateur par défaut mis a jour régulièrement et ne faisant pas usage de WebView (Chrome, Opera, Firefox...) et de limiter l'usage de WebView à des applications de confiance, c'est-à-dire en se contentant de celles disponibles sur Google Play.
Smartphone Android : découvrez des offres à bas prix sur notre comparateur de prix !
- Retour en vidéo sur Android 5.0 Lollipop
