Google cesse de fournir des mises à jour pour Android Jelly Bean et les versions inférieures pour le composant Webview

900+ millions d’utilisateurs laissés dans l’incertitude alors que Google annonce avoir cessé de fournir des correctifs de sécurité pour le composant Webview dans Android 4.3 Jellybean et les versions antérieures

Triste mais vrai. Si vous êtes l’une de ces personnes qui utilisent un système d’exploitation Android 4.3 et inférieur sur votre smartphone et attendez que Google corrige la vulnérabilité de la politique de même origine (SOP) d’Android, eh bien, vous ne l’obtiendrez pas de Google.

Le défaut de SOP hérité d’Android, découvert par Rafay Baloch, un chercheur en sécurité pakistanais, affecte le composant webview du navigateur par défaut d’Android expédié avec environ 930 000 smartphones fonctionnant sous Android 4.3 Jelly Bean et les versions inférieures.

La vulnérabilité dans le composant WebView se produit lors du remplacement de l’attribut ‘data’ d’un objet HTML donné par un schéma d’URL JavaScript. Un hacker potentiel pourrait exploiter le défaut UXSS pour extraire des données de cookies et du contenu de page d’une fenêtre de navigateur vulnérable.

Le trou de sécurité peut être exploité dans toutes les versions du navigateur Android Open Source Platform (AOSP), également connu sous le nom de navigateur Android stock ou par défaut. La vulnérabilité n’existe que dans Android OS 4.3 Jellybean et les versions inférieures.

Joe Vennix de Rapid7 et Rafay ont collaboré pour créer un code Metasploit pour cette vulnérabilité afin que Google et d’autres fabricants de smartphones puissent corriger le défaut.

Cependant, aucun correctif n’est à venir. Entre-temps, Trend Micro Labs a découvert que le code Metasploit était exploité dans la nature pour détourner les comptes Facebook des utilisateurs ayant des smartphones fonctionnant sous Android 4.3 Jellybean et les versions inférieures.

Rapid7 a maintenant contacté Google pour corriger cette vulnérabilité critique et a reçu une réponse choquante de Google. Google a cessé de fournir des correctifs de sécurité pour Android 4.3 Jelly Bean et les versions inférieures. Voici la réponse qu’un chercheur en sécurité de Metasploit a reçue de Google.

“Si la version affectée [de WebView] est antérieure à 4.4, nous ne développons généralement pas les correctifs nous-mêmes, mais accueillons les correctifs avec le rapport pour examen. En dehors de la notification des OEM, nous ne pourrons pas agir sur un rapport affectant des versions antérieures à 4.4 qui ne sont pas accompagnées d’un correctif.”

Le chercheur en sécurité surpris, Tod Beardsley de la communauté Rapid7 Metasploit, a rapporté cela dans un article de blog.

“Donc, Google ne va plus fournir de correctifs pour 4.3. C’est une nouvelle qui fait lever les sourcils.” a-t-il ajouté, “Je n’ai jamais vu un programme de réponse aux vulnérabilités qui soit conditionné à ce que le rapporteur fournisse son propre correctif, et pourtant c’est la position de Google. Ce changement de politique de sécurité semblait si bizarre, en fait, que je ne pouvais pas croire que c’était réellement la politique officielle de Google.”

Pour confirmer son choc, Tod a suivi cela avec la sécurité de Google elle-même et a reçu une réponse similaire de l’équipe de sécurité de Google.

Si la version affectée [de WebView] est antérieure à 4.4, nous ne développons généralement pas les correctifs nous-mêmes mais notifions les partenaires du problème[…] Si des correctifs sont fournis avec le rapport ou intégrés dans AOSP, nous sommes heureux de les fournir également aux partenaires.

Il semble que Google ait cessé de fournir un support uniquement pour le composant Webview des anciennes versions d’Android, car lorsque Tod a demandé plus d’informations, on lui a dit que “l’équipe de sécurité Android a confirmé que d’autres composants antérieurs à KitKat, tels que les lecteurs multimédias, continueront à recevoir des correctifs rétroportés.”

Le problème est que pour l’instant, seul le composant Webview des anciennes versions d’Android est jugé vulnérable, et comme l’a prouvé Trend Micro Labs, il est exploité dans la nature. C’est le composant qui devrait être corrigé dans toutes les versions dès que possible afin que les utilisateurs de smartphones Android ne soient pas exploités en raison de la vulnérabilité SOP.

Cela signifie également qu’environ 930 millions de smartphones là-bas attendent d’être exploités par des hackers potentiels et des cybercriminels. Selon les dernières statistiques de distribution d’Android de Google, 46 % des appareils Android fonctionnent sous Jelly Bean, suivis de KitKat à 39,1 %. Les autres utilisateurs d’Android sont sur Gingerbread (versions 2.3.3-2.3.7, utilisés par 7,8 % des appareils), Ice Cream Sandwich (versions 4.0.3 à 4.0.4, utilisés par 6,7 %), et l’ancien Froyo (version 2.2, 0,4 %).

Tod Beardsley a déclaré que c’était la décision la plus “bizarre” de Google.

Les fabricants de smartphones qui ont commercialisé ces smartphones dans le passé ne sont plus intéressés à fournir des correctifs/support pour ces versions. Alors qui fournira des correctifs pour cette vulnérabilité critique et protégera des millions d’utilisateurs de smartphones Android ayant Android 4.3 et inférieur sur leurs téléphones, c’est une question à laquelle personne ne peut répondre.