Android, l’insécurité pour pousser à la consommation ?

Une équipe de chercheurs vient de démontrer que près d’un milliard d’utilisateurs sous Android disposent d’un système d’exploitation avec des bugs de sécurité connus et non corrigés. Pourquoi ? Google a décidé de ne plus mettre à jour la composante de base de « WebView » dans les versions Android antérieure à KitKat, soit Android 4.4.

À l’heure actuelle, 60,9%, soit près d’un milliard d’utilisateurs sous Android exploitent la version JellyBean (4,3) ou inférieur de ce système d’exploitation. WebView est un élément important sur ​​cet OS mobile développé par Google, car il assure l’affichage des pages Web, cependant depuis le lancement d’Android  KitKat, ce composant a été remplacé par une nouvelle version qui est basée sur « Chromium ».  Des chercheurs en sécurité (Rapid7) ont constaté que Google ne propose plus de correctifs pour des failles de sécurité liées à WebView dont la version est inférieure à 4,4. 

La situation est délicate car mise à part que plus de 930 millions d’utilisateurs sont actuellement concernés par cet abandon de Google, Tod Beardsley de chez Rapid7 souligne que les vulnérabilités de WebView sont fréquemment trouvées (11 sont déjà répertoriés). Il ajoute alors que la meilleure façon de rester protégé est « évidemment » de changer son combiné vers un appareil de dernière génération livrée avec une nouvelle version d’Android.

Cela est loin d’être facile car tout le monde n’est pas prêt à dépenser des centaines d’euros pour résoudre un simple problème logiciel et non matériel. La situation est également préoccupante car Google a officiellement reconnu qu’il n’y a plus de soutien si bien que les cybercriminels peuvent désormais explorer ces failles à moins que les constructeurs s’attellent à la tâche mais là c’est encore une autre question…