Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WebView : pourquoi Google a-t-il décidé de laisser des millions d'utilisateurs d'Android à la merci des pirates ?
La firme se défend

Le , par Michael Guilloux

9PARTAGES

0  0 
Google a confirmé son intention de ne plus corriger les vulnérabilités dans WebView pour les versions antérieures à Android 4.4 Kitkat. Cette décision laissant près d'un milliard d'utilisateurs Android à risque, a été confirmée par Adrian Ludwig, de l’équipe de sécurité de Google pour Android, dans un billet Google+ vendredi.

Selon, Ludwig, « maintenir les logiciels à jour est l'un des plus grands défis en matière de sécurité » pour Google. Mais, avec Android Jelly Bean et les versions antérieures, parce que le navigateur est basé sur une version du moteur de navigateur WebKit qui est maintenant âgé de plus de deux ans, la correction de la vulnérabilité WebView va demander beaucoup de changements de code qui peut affecter plus de choses.

« WebKit seul, c’est plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouveaux commits chaque mois, de sorte que dans certains cas, appliquer les correctifs de vulnérabilité à une branche de WebKit ancienne de plus de 2 ans requiert des changements dans des parties importantes du code et il n'était plus pratique de le faire en toute sécurité. » A-t-il écrit.

Cette décision affecte plus de 60% des utilisateurs d'Android, mais selon Adrian, les utilisateurs mettent à niveau leurs dispositifs et la base d'utilisateurs vulnérables diminue chaque jour. Il suggère donc de passer à des versions plus récentes d'Android, à savoir KitKat et Lollipop, pour lesquelles Google travaille pour la livraison de mises à jour de sécurité.

Dans le cas contraire, pour réduire le risque d'exploitation potentielle des vulnérabilités WebKit, il suggère l’utilisation d’un navigateur qui est mis à jour via Google Play, comme Chrome et Firefox, et l'utilisation d'applications qui suivent les meilleures pratiques de sécurité.

En outre, Adrian a suggéré que les développeurs qui ont besoin d'utiliser le composant WebView dans leurs applications devraient l'utiliser seulement pour charger des sites Web sécurisés et de confiance.

Source : Adrian Ludwig via Google+

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de glad33bx
Membre régulier https://www.developpez.com
Le 26/01/2015 à 13:08
D'un côté, ils balancent des failles 0 days sur Windows & Mac, de l'autre ils nous disent : nous on corrige pas...

Mouai
5  1 
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 26/01/2015 à 14:49
Google : quand une grande gueule hypocrite essaie de se faire passer pour un super héros.

Voilà, c'était mon coup de gueule du jour, la politique et la fausseté de cette entreprise me dégoûte.
4  1 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/01/2015 à 18:27
webview n'est qu'un exemple. Pourquoi webview serait-il le seul. Faudrait aussi pouvoir mettre à jour le SSL sans mettre à jour l'OS, pour les trous de sécurité SSL. Faudrait pouvoir mettre à jour l'écran de verrouillage, au cas où un malin puisse déverrouiller sans taper le code, .... Le problème de base c'est que les constructeurs ont bloqué les mises à jour de l'OS, et on peux les comprendre. Si demain une mise à jour de l'OS déconne sur un de leur appareil, c'est une chiée d'utilisateurs qui va défiler dans le bureau juridique du constructeur

Concernant webview, si les dev d'applications utilisant webview ont peur d'un détournement d'une faille de webview pour télécommander leur app, qu'ils fassent le connexion en https, histoire que personne ne puis manipuler le flux http. Et si c'est l'auteur de l'application qui essaie d'exploiter une faille webview.... Il aura plus vite fait de faire faire directement le travail par son application que d'utiliser webview pour ça.

Une tempête dans une verre d'eau selon moi
1  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/01/2015 à 12:44
Citation Envoyé par jipenunux Voir le message
pour firefox os j'en ai un et c'est sur les bases de son utilisation que je disait ça, et pas pour troller.
Alors ton post est hors sujet (on parle d'android ici), il est non argumenté (juste faites ceci), il n'y a aucun rapport entre le fait que firefox OS soit libre et les trous de sécurité puisque le problème de base des mises à jour c'est l'équipementier, android est tout aussi libre que firefox OS. Donc oui, ton post est un gros troll velu
0  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 26/01/2015 à 14:04
« WebKit seul, c’est plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouveaux commits chaque mois, de sorte que dans certains cas, appliquer les correctifs de vulnérabilité à une branche de WebKit ancienne de plus de 2 ans requiert des changements dans des parties importantes du code et il n'était plus pratique de le faire en toute sécurité. » A-t-il écrit.
C'est triste d'en arriver là, mais le côté business passe souvent devant la sécu...
0  0 
Avatar de CeluiQuiCode
Membre régulier https://www.developpez.com
Le 26/01/2015 à 15:35
J'ai actuellement une tablette sous 4.2.1, et sur le site du constructeur, la dernière màj remonte à mi-2013 ...
Est ce que ça craint de me connecter a Internet, vis à vis de mes comptes Twitter, MS, Evernote, etc ... ?
Dans quelle genre d'utilisation d'android, ces failles / futures failles, peuvent mettre mes datas en danger ?
A part les applis Google Inc, j'ai désinstallé tout le reste
0  0 
Avatar de kiprok
Membre averti https://www.developpez.com
Le 26/01/2015 à 15:42
Dans le cas contraire, pour réduire le risque d'exploitation potentielle des vulnérabilités WebKit, il suggère l’utilisation d’un navigateur qui est mis à jour via Google Play, comme Chrome et Firefox, et l'utilisation d'applications qui suivent les meilleures pratiques de sécurité.
Je n'y connais pas grand chose mais n'est il pas possible pour google de faire en sorte de mettre a jour webkit comme le font chrome et firefox?
J'imagine que ce n'est pas simple car totalement imbriquer mais ne peuvent ils pas trouver une solution de ce genre?
Dans tous les cas c'est à eux de trouver une solution! Ils ont fait des choix d archi, il faut assumer : leur réponse est vraiment lamentable, encore plus en ce moment lorsqu'ils donnent des leçons de secu à leurs concurrents!
0  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 26/01/2015 à 16:01
Perso ca me choque pas puisqu'il savent pertinemment que les appareils sous ces version d'OS ne seront jamais mis à jour par les constructeurs. Il peuvent donc patcher tout ce qu'il veulent , si c'est pas propagé ça ne sert à rien.
A moins que webview puisse être mise à jour sans màj de l'os auquel cas c'est plus critiquable.
0  0 
Avatar de kiprok
Membre averti https://www.developpez.com
Le 26/01/2015 à 16:50
Citation Envoyé par grunk Voir le message
Perso ca me choque pas puisqu'il savent pertinemment que les appareils sous ces version d'OS ne seront jamais mis à jour par les constructeurs. Il peuvent donc patcher tout ce qu'il veulent , si c'est pas propagé ça ne sert à rien.
A moins que webview puisse être mise à jour sans màj de l'os auquel cas c'est plus critiquable.
C'est ce que je voulais dire, webview "devrait" être mis à jour sans bouger l os... Si ce n est pas le cas ils devraient trouver une solution dans ce sens.
0  0 
Avatar de javan00b
Membre actif https://www.developpez.com
Le 26/01/2015 à 23:52
Citation Envoyé par glad33bx Voir le message
D'un côté, ils balancent des failles 0 days sur Windows & Mac, de l'autre ils nous disent : nous on corrige pas...

Mouai
Ouais mais le webview est open-source.
1  1