26Aug
Le navigateur Web sous Android 4.3 et versions antérieures comporte de nombreux problèmes de sécurité importants, et Google ne le corrigera plus. Si vous utilisez un appareil avec Android 4.3 Jelly Bean ou une version antérieure, vous devez prendre des mesures.
Ce problème est résolu dans Android 4.4 et 5.0, mais plus de 60% des appareils Android sont bloqués sur des appareils qui ne reçoivent pas de correctifs de sécurité.
Pourquoi Google ne corrige pas le navigateur Android 4.3
Android mises à jour du système d'exploitation sont un gâchis. Les fabricants sortent un grand nombre de téléphones différents et modifient le code de manière extensive. Google ne peut pas simplement mettre à jour le système d'exploitation de votre appareil: il ne peut que sortir un nouveau code et espérer que le fabricant de l'appareil et votre opérateur de téléphonie mobile travaillent dur pour vous le fournir.
Traditionnellement, la plupart des composants Android ont été intégrés au niveau du système d'exploitation. Cela inclut le navigateur Web intégré, nommé «Navigateur». Il est important de noter que le navigateur lui-même et le moteur de rendu sous-jacent sont intégrés au système d'exploitation. Le moteur du navigateur est utilisé dans toutes les applications Android qui utilisent un navigateur Web intégré, connu sous le nom de «WebView».
Ce navigateur intégré est basé sur une ancienne version de WebKit, et une faille sérieuse a récemment été découverte. Google. Google n'a aucun moyen de fournir une mise à jour directement aux utilisateurs d'Android pour résoudre ce problème. Il doit être corrigé par le biais d'une mise à jour du système d'exploitation, ce qui nécessite que les fabricants de périphériques et les opérateurs effectuent le travail.
Malheureusement, même lorsque Google publiait un code de mise à jour de sécurité pour le navigateur d'Android 4.3, de nombreux fabricants d'appareils n'avaient peut-être même pas envoyé les correctifs à leurs utilisateurs. La seule grâce qui sauve est que de nombreux appareils Android ont été livrés avec Google Chrome, et les utilisateurs sont en sécurité lors de l'utilisation de Chrome sur ces appareils - mais, encore une fois, pas en utilisant d'autres applications avec les navigateurs Web intégrés.
La plupart des utilisateurs Android sont bloqués, mais Android 4.4 et plus récent sont corrigés
Google a travaillé pour rendre les mises à jour du système d'exploitation Android moins importantes, supprimant plus de fonctionnalités du système d'exploitation principal pour qu'elles puissent être mises à jour via Google Play. Dans Android 4.4, le navigateur intégré peut être rapidement mis à jour par les fabricants de périphériques avec un patch minuscule. Dans Android 5.0, le navigateur est mis à jour par Google directement via Google Play.
Mais plus de 60% des appareils utilisent Android 4.3 et moins, selon les propres chiffres de Google. Google n'a pas publié de "correctif" pour Android 4.3, mais si c'était le cas, ce serait aux fabricants de téléphones et aux opérateurs de téléphonie mobile de le déployer. Vraiment, Google voit la mise à jour des appareils à Android 4.4 comme le correctif, et les fabricants de périphériques devraient travailler à la place.
Nous ne voulons pas absoudre Google ici. Construire le navigateur en profondeur dans le système d'exploitation afin qu'il ne peut pas être mis à jour rapidement pour corriger les failles de sécurité a été une décision terrible, et nous ne pouvons que nous sommes reconnaissants qu'ils ont maintenant changé la façon dont les versions modernes d'Android fonctionnent. Les fabricants d'appareils et les opérateurs de téléphonie mobile méritent une grande partie de la faute pour ne pas mettre à jour les appareils rapidement. Si vous avez un téléphone acheté sur un contrat de deux ans, ils devraient au moins mettre à jour l'appareil avec des mises à jour de sécurité pour la durée du contrat!
Comment rester en sécurité sur Android 4.3 et versions antérieures
Mais ce n'est pas seulement un débat intéressant entre Google et les professionnels de la sécurité en ligne. La réalité est que la plupart des utilisateurs d'Android utilisent un navigateur Web vulnérable, et vous pouvez être l'un d'entre eux. Voici ce que vous pouvez faire pour rester aussi sûr que possible:
- Installer et utiliser un autre navigateur Web : N'utilisez pas l'application «Navigateur» intégrée pour naviguer sur le Web. Au lieu de cela, installez un navigateur comme Mozilla Firefox ou Google Chrome à partir de Google Play. Chrome ne fonctionne que sur Android 4.0 et versions ultérieures, mais Mozilla Firefox fonctionne toujours sur Android 2.3 Gingerbread. Ces navigateurs incluent leurs propres moteurs de rendu, ils n'utilisent donc pas le moteur de navigation du système. Ils sont également fréquemment mis à jour via Google Play. Vous trouverez probablement ces navigateurs plus rapidement que le navigateur intégré si vous avez un périphérique plus ancien avec le code navigateur intégré plus ancien, de toute façon!
- Évitez de naviguer avec les navigateurs Web intégrés : L'utilisation d'un navigateur tiers ne résoudra pas tous les problèmes, car vous serez toujours exposé à un risque si vous utilisez un navigateur Web intégré dans une application - ceux-ci utilisent le "WebView" du système.est vulnérable.Évitez de naviguer avec les navigateurs intégrés si vous avez une version vulnérable d'Android. Stick à une application de navigateur dédié comme Firefox ou Chrome.
Google a recommandé aux développeurs d'applications Android de regrouper les moteurs de navigation dans leurs applications sur Android 4.3 et versions antérieures. C'est la seule façon dont ils peuvent s'assurer que leurs navigateurs intégrés sont sûrs et sécurisés. Ceci est un hack sale autour du code du navigateur pourri dans Android lui-même. C'est une recommandation assez folle, mais les développeurs peuvent vraiment vouloir considérer cela - surtout si la sécurité est particulièrement importante pour l'application.
Alors, quel est le risque, vraiment? Eh bien, nous n'avons entendu parler de personne qui l'exploite encore. Mais le signal clair de Google selon lequel 60% de tous les appareils Android actuels ne recevront pas de correctifs de sécurité du navigateur a certainement été le bienvenu pour les pirates. Nous nous attendons à voir des exploits de navigateurs Android se frayer un chemin dans diverses collections d'exploits du marché de masse, car Google abandonner le navigateur utilisé sur la plupart des appareils Android laisse un trou béant qui peut être exploité librement sans risque de correctifs.
C'est un peu comme les problèmes de sécurité liés à l'utilisation de Windows XP - si Windows XP était encore utilisé par la majorité des utilisateurs lors de son abandon. Oui, l'écosystème Android est un gâchis. Il devrait être possible pour Google d'obtenir des mises à jour de sécurité du navigateur pour ses utilisateurs, mais ce n'est pas le cas.