Sécurité Android · 3 min read · Oct 24, 2025

Le bug de contournement SOP des anciens Android expose des milliards de smartphones et tablettes

Table des matières

  • Le bug des anciens Android expose des milliards de smartphones et tablettes
  • Vulnérabilité universelle de cross-scripting
  • Inconvénient d’être open source
  • Preuve de concept
  • Preuve de concept utilisant l’appel Postmessage
  • Code vulnérable

Le bug des anciens Android expose des milliards de smartphones et tablettes

Un chercheur pakistanais, Rafay Baloch, a découvert un bug de contournement SOP présent dans le navigateur par défaut d’Android (navigateur stock), expédié dans chaque version du système d’exploitation open source jusqu’à 4.4 KitKat. L’expert a coordonné la divulgation du bug avec la société de sécurité Rapid7, qui a publié un module Metasploit pour cela. Le navigateur par défaut fonctionne sur les appareils d’environ 70 % des utilisateurs de smartphones utilisant des versions plus anciennes d’Android, rendant des milliards d’utilisateurs exposés à cette faille.

Vulnérabilité universelle de cross-scripting

La vulnérabilité, qui affecte le composant WebView, se produit « lorsque l’attribut ‘data’ d’un objet HTML donné est remplacé par un schéma d’URL JavaScript », a expliqué Tod Beardsley, responsable technique du framework Metasploit. Un attaquant peut exploiter la faille UXSS pour extraire des données de cookies et le contenu de la page d’une fenêtre de navigateur vulnérable, a déclaré Rapid7. La société a noté que les URL cibles utilisant X-Frame-Options ne sont pas affectées. La faille de sécurité peut être exploitée sur toutes les versions du navigateur de la plateforme Android Open Source (AOSP), y compris celles utilisant WebView.

Inconvénient d’être open source

Google a publié un correctif pour cette faille. Cependant, un inconvénient majeur de la façon dont fonctionne la communauté Android est qu’il appartient aux fabricants de propager les mises à jour à leurs utilisateurs, ce que la majorité d’entre eux ne se donne pas la peine de faire. Cela se fait sentir lorsque Google publie de nouvelles versions d’Android et la pression se fait également sentir maintenant. Comme la plupart des fabricants ne se préoccupent pas de la mise à jour, des millions d’utilisateurs utilisant une version plus ancienne d’Android sont laissés coincés avec cette vulnérabilité pour toujours, à moins qu’ils n’achètent un nouveau téléphone qui soit livré avec la dernière version d’Android 5.0 Lollipop. Mais ces utilisateurs appartiennent généralement au segment inférieur et moyen de gamme et ne peuvent pas se permettre le dernier téléphone en premier lieu, donc acheter un nouveau téléphone n’est pas vraiment une option pour eux.

« Pour beaucoup, beaucoup de gens, acheter un nouveau téléphone n’est tout simplement pas pratique ; les personnes les plus susceptibles d’être affectées par les bugs ‘anciens’ d’Android sont les mêmes personnes qui ne pouvaient pas se permettre un téléphone Android ‘dernier cri’ en premier lieu », a déclaré Beardsley dans un article de blog. « En d’autres termes, il semble qu’un milliard de téléphones ne verront pas ce correctif de sitôt, si jamais. C’est bien que le correctif existe, mais Google ne semble pas avoir de moyen pratique de le diffuser dans le monde. »

Preuve de concept

La preuve de concept suivante est :