in

Le navigateur Web de votre téléphone Android ne reçoit probablement pas de mises à jour de sécurité

Le navigateur Web sous Android 4.3 et versions antérieures a de nombreux gros problèmes de sécurité, et Google ne le corrigera plus. Si vous utilisez un appareil avec Android 4.3 Jelly Bean ou une version antérieure, vous devez prendre des mesures.

Ce problème est résolu dans Android 4.4 et 5.0, mais plus de 60% des appareils Android sont bloqués sur des appareils qui ne recevront aucun correctif de sécurité.

Pourquoi Google ne corrige plus le navigateur d’Android 4.3

Les mises à jour du système d’exploitation Android sont un gâchis. Les fabricants proposent un grand nombre de téléphones différents et modifient le code en profondeur. Google ne peut pas simplement mettre à jour le système d’exploitation de votre appareil – ils ne peuvent que publier un nouveau code et espérer que le fabricant de l’appareil et votre opérateur de téléphonie mobile feront tout le travail nécessaire pour vous le faire parvenir.

Traditionnellement, la plupart des composants Android ont été intégrés au niveau du système d’exploitation. Cela inclut le navigateur Web intégré, nommé «Navigateur». Surtout, le navigateur lui-même et le moteur de rendu sous-jacent sont intégrés au système d’exploitation. Le moteur de navigateur est utilisé dans chaque application Android qui utilise un navigateur Web intégré, appelé «WebView».

Ce navigateur intégré est basé sur une ancienne version de WebKit, et une faille grave a été récemment découverte et signalée à Google. Google n’a aucun moyen de fournir une mise à jour directement aux utilisateurs d’Android pour résoudre ce problème. Il doit être corrigé via une mise à jour du système d’exploitation, ce qui oblige les fabricants de périphériques et les opérateurs à faire le travail.

Malheureusement, même lorsque Google publiait le code de mise à jour de sécurité pour le navigateur d’Android 4.3, de nombreux fabricants d’appareils n’avaient peut-être même pas envoyé les correctifs à leurs utilisateurs. La seule grâce qui sauve est que de nombreux appareils Android sont livrés avec Google Chrome et que les utilisateurs sont en sécurité lorsqu’ils utilisent Chrome sur ces appareils – mais, encore une fois, pas lorsqu’ils utilisent d’autres applications avec des navigateurs Web intégrés.

La plupart des utilisateurs d’Android sont bloqués, mais Android 4.4 et plus récent sont corrigés

Google s’efforce de rendre les mises à jour du système d’exploitation Android moins importantes, en supprimant davantage de fonctionnalités du système d’exploitation principal afin qu’elles puissent être mises à jour via Google Play. Sous Android 4.4, le navigateur intégré peut être rapidement mis à jour par les fabricants d’appareils avec un petit patch. Sous Android 5.0, le navigateur est mis à jour par Google directement via Google Play.

Mais plus de 60% des appareils utilisent Android 4.3 et versions antérieures, selon les propres chiffres de Google. Google n’a pas publié de «correctif» pour Android 4.3, mais – s’ils le faisaient – ce serait aux fabricants de téléphones et aux opérateurs de téléphonie mobile de le déployer. Vraiment, Google considère la mise à jour des appareils vers Android 4.4 comme un correctif, et les fabricants d’appareils devraient plutôt y travailler.

Nous ne voulons pas absoudre Google ici. Construire le navigateur profondément dans le système d’exploitation afin qu’il ne puisse pas être mis à jour rapidement pour corriger les failles de sécurité était une décision terrible, et nous ne pouvons qu’être reconnaissants qu’ils aient maintenant changé la façon dont les versions modernes d’Android fonctionnent. Les fabricants d’appareils et les opérateurs de téléphonie mobile méritent une grande part de blâme pour ne pas avoir mis à jour les appareils rapidement. Si vous avez un téléphone acheté avec un contrat de deux ans, ils devraient au moins mettre à jour l’appareil avec des mises à jour de sécurité pour la durée du contrat!

Comment rester en sécurité sur Android 4.3 et les versions précédentes

Mais ce n’est pas seulement un débat intéressant entre Google et les professionnels de la sécurité en ligne. La réalité est que la plupart des utilisateurs d’Android utilisent un navigateur Web vulnérable, et vous en faites peut-être partie. Voici ce que vous pouvez faire pour rester aussi sûr que possible:

  • Installer et utiliser un autre navigateur Web: N’utilisez pas l’application «Navigateur» intégrée pour naviguer sur le Web. Au lieu de cela, installez un navigateur comme Mozilla Firefox ou Google Chrome à partir de Google Play. Chrome ne fonctionne que sur Android 4.0 et plus, mais Mozilla Firefox fonctionne toujours sur Android 2.3 Gingerbread. Ces navigateurs incluent leurs propres moteurs de rendu, ils n’utilisent donc pas le moteur de navigateur du système. Ils sont également fréquemment mis à jour via Google Play. Vous trouverez probablement ces navigateurs plus rapidement que le navigateur intégré si vous avez un appareil plus ancien avec un code de navigateur intégré plus ancien, de toute façon!
  • Évitez de naviguer avec les navigateurs Web intégrés: Le simple fait d’utiliser un navigateur tiers ne résoudra pas tout, car vous courrez toujours un risque si vous utilisez un navigateur Web intégré dans une application – ceux-ci utilisent la «WebView» du système, qui est vulnérable. Évitez de naviguer avec les navigateurs intégrés si vous disposez d’une version vulnérable d’Android. Restez fidèle à une application de navigateur dédiée comme Firefox ou Chrome.

Google a en fait recommandé aux développeurs d’applications Android de regrouper les moteurs de navigateur dans leurs applications sur Android 4.3 et versions antérieures. C’est la seule façon pour eux de s’assurer que leurs navigateurs intégrés sont sûrs et sécurisés. Il s’agit d’un sale hack autour du code du navigateur en décomposition dans Android lui-même. C’est une recommandation assez folle, mais les développeurs voudront peut-être en tenir compte, surtout si la sécurité est particulièrement importante pour l’application.

Alors, à quel point est-ce vraiment un risque? Eh bien, nous n’avons encore entendu personne qui l’exploite. Mais le signal clair de Google selon lequel 60% de tous les appareils Android actuels ne recevront pas de correctifs de sécurité du navigateur a certainement été le bienvenu pour les attaquants. Nous nous attendons à voir les exploits du navigateur Android se frayer un chemin dans diverses collections d’exploits du marché de masse, car Google abandonnant le navigateur utilisé sur la plupart des appareils Android laisse un trou béant qui peut être librement exploité sans le risque que des correctifs résolvent les problèmes.

C’est un peu comme les problèmes de sécurité liés à l’utilisation de Windows XP – si Windows XP était encore utilisé par la majorité des utilisateurs lorsqu’il a été abandonné. Oui, l’écosystème Android est en désordre. Il devrait être possible pour Google d’obtenir des mises à jour de sécurité du navigateur pour ses utilisateurs, mais ce n’est pas le cas.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Quelle est la différence entre Dolby Digital et DTS, et dois-je m'en soucier?

Quelle est la différence entre Dolby Digital et DTS, et dois-je m’en soucier?

Comment télécharger vos photos depuis Facebook

Comment télécharger vos photos depuis Facebook