Une vulnérabilité concernant l’ancienne version de WebView a été découverte au sein d’Android 4.3 et des versions antérieures de l’OS mobile. Google a affirmé ne plus vouloir mettre à jour le module à l’avenir. Mais risque-t-on réellement quelque chose ?

faille de sécurité

La WebView est un composant d’Android présent dans toutes les versions de l’OS mobile. Il s’agit d’un module permettant d’afficher du HTML, du CSS ou d’exécuter du Javascript, bref d’afficher une page web, sans avoir à développer cet affichage soi-même. Jusqu’à Android 4.3, la WebView utilisait une version différente de Webkit, différente en tout cas de celle de Chrome. Depuis Android 4.4, la WebView utilisée provient de Chromium. Il est toutefois possible d’utiliser l’ancienne version de la WebView dans Android 4.4, notamment lorsque le développeur de l’application l’a rendue compatible avec les versions précédentes d’Android.

C’est bien cette ancienne WebView qui nous intéresse ici. Selon le cabinet d’étude spécialisé dans la sécurité Rapid7, Google a non seulement arrêté les mises à jour de l’ancienne WebView mais compte en plus ne plus corriger les éventuelles failles de sécurité. Concrètement, Google va uniquement mettre à jour et corriger tout ce qui concerne la WebView à partir de Android 4.4 et les nouvelles versions d’Android. Google lui-même l’a confirmé à Rapid 7, par l’intermédiaire de l’adresse email security@android.com :

Si la version de WebView affectée date d’avant Android 4.4, nous ne développons généralement pas de patch nous-mêmes, mais nous prévenons nos partenaires du problème rencontré.

Le problème, c’est que Rapid7 trouverait régulièrement des failles ou des vulnérabilités au sein de l’ancienne version de WebView. Et que, affirme Rapid7, Google aurait arrêté de faire ces mises à jour pour des raisons purement commerciales, afin de pousser les utilisateurs à basculer sur des smartphones plus récents dotés des versions les plus récentes d’Android. Ce qui représenterait actuellement plus de 60 % du parc d’utilisateur Android, soit près d’un milliard d’utilisateurs.

Cependant Rapid7 n’indique pas la nature ni la gravité des failles et des vulnérabilités que le cabinet trouve régulièrement au sein de WebView. Dans les faits, que risquent réellement les utilisateurs de “vieilles” versions d’Android ? Nous avons posé la question à Pierre-Olivier Dybman, développeur Android :

« La WebView est toujours un facteur de tourment pour les éditeurs de plateformes logicielles pour deux raisons. La première, c’est que cette dernière se doit d’accepter du contenu exécutable venant de l’extérieur (fichiers Javascript, etc.). La seconde raison, c’est que souvent, des ponts entre la plate-forme et la WebView sont construits afin de permettre à JavaScript d’accéder à des fonctions natives. C’est par exemple le cas sur Android. Par le passé, Google a dû corriger plusieurs failles assez sérieuses et a parfois mis beaucoup de temps à fournir les patchs. Toutefois, aujourd’hui la WebView d’Android 4.3 et moins n’est pas, à notre connaissance, vulnérable à des failles graves et exploitables de façon automatique. Je pense que ce qu’il faut comprendre de la réponse de Google et notamment de l’utilisation du mot “généralement”, c’est qu’à moins que l’on démontre l’existence d’une faille majeure exploitable de façon répétable et à distance, ils ne mettront pas les mains dans le cambouis. »

La dernière solution pour combler ces failles provient des développeurs eux-même. Une partie du code d’Android étant open source, il est tout à fait possible pour des développeurs motivés de coder eux-mêmes des correctifs et de proposer une WebView corrigée. Il est hélas peu probable que ces derniers soient enclins à combler chaque nouvelle faille découverte.