Google annonce qu’il ne corrigera pas les failles de WebView d’Android 4.3. Explications.
Ce sont encore plusieurs centaines de millions d’utilisateurs dans le monde qui utilisent encore des versions d’Android antérieures à la 4.3. Malgré cela, Google a tout récemment annoncé son intention de ne plus corriger les failles au sein des anciennes versions de WebView.
Adrian Ludwig, de l’équipe d’Android Security, explique que Google publie des correctifs pour les deux dernières versions majeures d’Android, soit la 4.4 et la 5.0. « Si la version de WebView affectée date d’avant 4.4, nous ne développons généralement pas de patchs nous-mêmes, mais nous informons nos partenaires du problème ».
Alors que, jusqu’à récemment, Google assurait la rétrocompatibilité du moteur de rendu WebKit utilisé au sein de WebView sur Android 4.3 et versions précédentes, Adrian Ludwig précise que « A lui seul WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de changements chaque mois ». De fait, pour les développeurs de Google, le déploiement de correctifs sur une version de WebKit datant de plus de deux ans se traduisait parfois par la modification d’une grosse portion de code, une pratique jugée de moins en moins sécurisée.
Alors que le moteur de rendu WebView a été revu et articulé sur Chromium depuis la version Android 4.4, il conseille d’utiliser par défaut mis à jour régulièrement et ne faisant pas usage de WebView (Chrome, Opera, Firefox) et de limiter l’usage de WebView à des applications de confiance pour les quelques 900 millions d’utilisateurs étant encore sous Android 4.3 ou antérieur.