Sécurité

Google jette près d’un milliard d’utilisateurs d’Android sous le bus et refuse de corriger la vulnérabilité du système d’exploitation – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Lorsqu’il s’agit de fournir des mises à jour de sécurité pour les produits précédents, divers fabricants ont poursuivi différentes stratégies. Certains, comme Microsoft, ont tendance à fournir des mises à jour de sécurité longtemps après avoir cessé de vendre un système d’exploitation (Microsoft uniquement cessé de fournir le support de Windows XP l’année dernière). D’autres, comme Google et Apple, ont poursuivi des délais plus serrés pour les mises à jour de sécurité. Google double maintenant ce calendrier, refusant de corriger les bogues dans Android 4.3 ou antérieur, même lorsque ces bogues pourraient exposer des vulnérabilités critiques sur près d’un milliard d’appareils.

Les défauts dans ce cas affectent Android 4.1 à 4.3, alias Jelly Bean, qui a commencé à être livré à la mi-2012 et était la version principale d’Android jusqu’à la fin de 2013, soit il y a environ 14 mois. Jusqu’à tout récemment, Google corrigeait de manière agressive les problèmes du moteur de rendu WebView d’Android. Avant KitKat (Android 4.4), toutes les versions d’Android utilisaient la version de WebView trouvée dans le navigateur Android pour afficher les pages Web HTML. Avec KitKat et Lollipop, Google a mis à jour le système d’exploitation pour utiliser un plugin WebView dérivé de son projet Chromium.

Quand la société de sécurité Rapid7 découvert un nouvel exploit dans la version du navigateur Android de WebView, il a contacté Google pour informer l’entreprise qu’Android 4.3 et les versions inférieures étaient vulnérables. La réponse et le changement de politique de Google soulèvent de grands sourcils. Plus précisément, la société déclare que :

Si la version concernée [of WebView] est avant 4.4, nous ne développons généralement pas les correctifs nous-mêmes, mais acceptons les correctifs avec le rapport pour examen. En dehors de la notification aux OEM, nous ne pourrons pas prendre de mesures sur les rapports affectant les versions antérieures à 4.4 qui ne sont pas accompagnées d’un correctif.

KitKat-Webview

Ce n’est pas un problème mineur. 60% des utilisateurs d’Android sont sur des versions pré-KitKit. Personne n’utilise encore Lollipop.

En d’autres termes, le personnel de sécurité doit désormais soumettre une correctif pour résoudre un problème lorsqu’ils le signalent. Si c’est le cas, Google « examinera » le correctif pour voir s’il résout le problème. S’ils ne le font pas, Google dit maintenant que la seule chose qu’il peut faire est d’informer divers équipementiers du problème.

Ce que Google fait, en substance, c’est dire à sa communauté d’utilisateurs « Désolé, vous devez dire à Samsung, LG et Motorola de vous fournir une version mise à jour de notre système d’exploitation. » C’est hilarant impossible. Il ne volerait jamais dans le monde des PC – imaginez que Microsoft dise à ses clients « Désolé, vous devez faire en sorte que HP, Dell et Lenovo vous fournissent une mise à jour gratuite pour notre système d’exploitation ». La disparité est encore plus grande si l’on considère que, dans la plupart des cas, un ordinateur exécutant une version précédente de Windows boîte être mis à niveau par l’utilisateur final pour exécuter la version suivante. Cette mise à niveau peut être un casse-tête, mais la configuration système requise sur Windows n’a pas bougé depuis neuf ans.

Psssssst :  Google veut tuer l'URL - High-teK.ca

L’acheteur moyen d’un téléphone ou d’une tablette n’a aucun moyen de mettre à niveau son système d’exploitation à moins que l’opérateur ne fournisse une mise à jour OTA, et des cycles de mise à niveau de deux ans signifient que beaucoup de gens vont être bloqués sur des appareils cassés avec des exploits connus que Google ne va pas à réparer. Certes, le fait que Google corrige un exploit ne signifie pas que les opérateurs vont le déployer, et la fragmentation a été un problème majeur dans l’écosystème d’Android au fil des ans – mais il y a une différence entre reconnaître la difficulté de maintenir les mises à jour de sécurité pour l’intégralité de sa base d’utilisateurs et refuser catégoriquement de les faire.

Éloigner les OEM d’Android open source

L’une des raisons évidentes pour lesquelles Google cesse de résoudre les problèmes du navigateur Android est que l’entreprise prend des mesures agressives pour amener les OEM à cesser d’utiliser les fonctionnalités open source d’Android et à les remplacer par des fonctionnalités sous licence directement de Google. Ars Technica a fait une rédaction détaillée sur cette tendance ici, et se débarrasser du navigateur Android est un élément clé pour s’éloigner d’un Android qui est réellement maintenu et utile.

Non, Google n’est pas meurtre Android – il s’agit simplement de s’assurer que les seules parties du programme qui bénéficient de mises à jour de fonctionnalités, d’améliorations de capacités et d’améliorations de performances sont celles qui nécessitent des accords de licence et promettent de ne pas développer de produits concurrents. La raison pour laquelle le Kindle Fire d’Amazon a sa propre boutique d’applications, et celle de Samsung intérêt continu pour Tizen sont à la fois le résultat de la volonté de Google de s’intégrer au centre de l’activité mobile tout en faisant semblant d’être à l’idée de l’open source.

Psssssst :  AMD répond aux allégations de sécurité de CTS Labs, résolutions entrantes

En rejetant toute la responsabilité des mises à jour de sécurité sur les opérateurs et les chercheurs en sécurité, Google indique aux OEM qu’ils peuvent soit accepter ses conditions de licence et s’aligner, soit assumer la responsabilité d’effectuer des mises à jour de sécurité pour lesquelles ils ne sont généralement pas qualifiés. ou financé à faire. C’est une astuce digne de Microsoft dans les mauvais vieux jours, et c’est particulièrement amusant de voir l’entreprise faire cela, étant donné qu’elle a jeté Microsoft sous le bus en décembre lorsqu’elle a publié les détails complets d’une faille de sécurité deux jours avant que Redmond ne la corrige, au motif que la société de systèmes d’exploitation pour ordinateurs de bureau et ordinateurs portables n’avançait pas assez vite.

Maintenant lis: Google découvre une vulnérabilité critique dans SSL 3.0 appelée POODLE

Bouton retour en haut de la page