Google explique pourquoi il ne corrigera pas la faille touchant 60% d’utilisateurs

Google explique pourquoi il ne corrigera pas la faille touchant 60% d’utilisateurs

Il y a quelques semaines, Rapid7 un cabinet d’étude spécialisé dans la sécurité informatique, dévoilait une faille liée à WebView dans l’avant dernière version d’Android (Jelly Bean) mais Google n’a pas daigné corrigé cette faille. Il explique pourquoi.

WebView, pour ce qui ne connaissent pas, est ce qui permet d’afficher une page web dans une application Android. C’est donc Adrian Ludwig chef de la section sécurité d’Android qui explique pourquoi la firme de Mountain View a décidé délibérément de ne pas corriger cette faille. Il affirme:

WebKit seul représente plus de 5 million de ligne de code et des centaines de développeurs ajoutent chaque mois de milliers de nouveaux changements. Ainsi, dans certains cas, appliquer des correctifs à une branche de sécurité de Webkit de plus de deux ans requiert de changer des portions significatives du code

Ludwig affirme que le meilleur moyen de se prévenir de cette faille est de faire une mise à jour vers Android KitKat ou Lollipop. D’un autre coté, pour ce qui est des développeurs, il faudrait  passer par un navigateur web sûr pour afficher les pages ou utiliser WebView mais uniquement pour des pages Web sécurisées (HTTPS).