Google a expliqué pourquoi il n'y aurait pas de correctif pour la dernière faille de sécurité (en date) recensée dans le moteur de rendu de pages web d'Android 4.3 ou antérieures.
C'est à l'intérieur de WebView qu'est logée cette faille (mais elle n'est pas la seule). Ce composant système permet l'affichage des pages web et l'exécution de code JavaScript. Depuis Android 4.4 KitKat, WebView a changé de cheval, sautant du moteur WebKit qu'utilise Apple à Blink mis au point par Google et régulièrement mis à jour. WebView, à l'origine, est utilisé dans Android Browser, le navigateur de base fourni avec l'OS. WebView peut aussi servir à des éditeurs tiers dont les applications ont besoin d'afficher des contenus web ou des publicités.
Sur son blog, Tod Beardsley s'alarmait il y a quelques jours de la véritable boite à outils offerte par ces failles de sécurité à des malandrins qui souhaiteraient par exemple détourner des utilisateurs vers des sites fallacieux et récupérer des données privées. Il s'étonne encore que Google soit prêt à corriger une faille dans le composant AudioPlayer de ces anciens Android mais pas à refermer dans WebView une des plus belles portes d'entrées pour les amateurs de vulnérabilités.
Membre de l'équipe sécurité d'Android, Adrian Ludwig est revenu sur le sujet pour expliquer la position de son employeur. Comme indiqué précédemment, Google n'apportera aucun correctif à WebView dans ces anciennes versions d'Android (Jelly Bean n'est pas si vieux, sorti mi-2012 sa dernière révision date d'octobre 2013).
Google, explique-t-il, n'a plus les moyens de mettre à jour un composant aussi complexe et qui, de par sa nature open source, est en constante évolution. Cet effort a été encore fait récemment mais ce n'est plus tenable :
À lui seul, WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles modifications chaque mois, de sorte que, dans certains cas, appliquer des correctifs de vulnérabilité sur une branche de WebKit vieille de 2 ans et plus impose des changements sur des volumes de code importants et ce n'était plus gérable de le faire de manière fiable. Avec les progrès d'Android 4.4, le nombre d'utilisateurs qui sont susceptibles d'être affectés par des problèmes de sécurité hérités de WebKit diminue chaque jour, alors que de plus en plus les gens se mettent à jour ou achètent un nouveau terminal.
Mécaniquement, il est vrai que la part de risques va aller décroissante, mais il y a encore de la marge. En se basant sur les statistiques de Google, les 4 version d'OS concernées - Froyo, Gingerbread, Ice Cream Sandwich et Jelly Bean - pèsent encore pour 60,9% des connexions faites sur Google Play. Dans le lot évidemment certains utilisent probablement Chrome plutôt qu'Android Browser. Restent les apps tierces.
Les solutions répétées par Adrian Ludwig sont multiples. Pour s'affranchir des risques posés par les failles, les utilisateurs peuvent passer à KitKat (encore faut-il que cela soit possible pour leur terminal…). Ou, plus simplement, installer soit Chrome soit Firefox qui n'utilisent plus ou pas le WebView version WebKit. Chrome marche à partir d'Android 4.0 et Firefox fait mieux encore en remontant jusqu'à Android 2.3 (Opera utilise aussi Blink). Sans oublier que Chrome figure en bonne place et par défaut sur de multiples téléphones de grandes marques.
D'autres solutions sont proposées aux développeurs qui utilisent l'ancien WebView, comme de suivre les recommandations de Google en termes de sécurité pour éviter le chargement de sites litigieux ou, carrément, d'intégrer leur propre moteur. C'est vers ce type d'applications "sûres" que les utilisateurs doivent aller, en les choisissant sur Google Play.
Adrian Ludwig insiste sur le fait que Google ne se contente pas de mettre à jour l'OS du moment, mais qu'il tient à jour les deux dernières versions en date.