
Selon, Ludwig, « maintenir les logiciels à jour est l'un des plus grands défis en matière de sécurité » pour Google. Mais, avec Android Jelly Bean et les versions antérieures, parce que le navigateur est basé sur une version du moteur de navigateur WebKit qui est maintenant âgé de plus de deux ans, la correction de la vulnérabilité WebView va demander beaucoup de changements de code qui peut affecter plus de choses.
« WebKit seul, c’est plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouveaux commits chaque mois, de sorte que dans certains cas, appliquer les correctifs de vulnérabilité à une branche de WebKit ancienne de plus de 2 ans requiert des changements dans des parties importantes du code et il n'était plus pratique de le faire en toute sécurité. » A-t-il écrit.
Cette décision affecte plus de 60% des utilisateurs d'Android, mais selon Adrian, les utilisateurs mettent à niveau leurs dispositifs et la base d'utilisateurs vulnérables diminue chaque jour. Il suggère donc de passer à des versions plus récentes d'Android, à savoir KitKat et Lollipop, pour lesquelles Google travaille pour la livraison de mises à jour de sécurité.
Dans le cas contraire, pour réduire le risque d'exploitation potentielle des vulnérabilités WebKit, il suggère l’utilisation d’un navigateur qui est mis à jour via Google Play, comme Chrome et Firefox, et l'utilisation d'applications qui suivent les meilleures pratiques de sécurité.
En outre, Adrian a suggéré que les développeurs qui ont besoin d'utiliser le composant WebView dans leurs applications devraient l'utiliser seulement pour charger des sites Web sécurisés et de confiance.
Source : Adrian Ludwig via Google+
Et vous ?
