« Si la version affectée est antérieure à 4.4, nous ne développons généralement pas de patch nous-mêmes », a répondu Google à un spécialiste de la sécurité qui a signalé une vulnérabilité dans la WebView d'Android 4.3 et antérieur.
Tod Beardsley raconte sur son blog ce drôle d'échange avec l'équipe de sécurité du système. Celle-ci se dit prête à avertir les fabricants de la faille et accepte volontiers un correctif clé en main qui pourra ensuite être intégré à AOSP (la base libre d'Android). Mais elle ne travaillera aucunement sur un patch de son côté.
La position de l'éditeur est qu'il ne certifie plus les terminaux qui intègrent Android Browser, basé sur une WebView qui utilise le moteur de rendu WebKit, remplacé dans Android 4.4 par Blink. En somme, Google estime que la version 4.3 est trop vieille pour être encore supportée — elle est sortie en juillet 2013.
Le problème, c'est que Jelly Bean et les versions antérieures représentent la majorité des terminaux Android en circulation. 60,9 % des appareils qui se sont connectés à Google Play au début du mois étaient sous Android 4.3 ou précédent (lire : Lollipop déballé par moins de 0,1 % des utilisateurs Android). Autant de smartphones et de tablettes qui sont donc vulnérables.
Sans action de la part de Google, il faut espérer qu'une bonne âme mette au point un patch. Mais restera encore à le distribuer, ce qui prend un certain temps puisqu'il doit passer par les fabricants puis par les opérateurs. L'autre solution est de mettre à jour le terminal vers Android 4.4 ou 5.0... si le fabricant le propose. En dernier recours, on peut installer une ROM alternative qui s'attache à intégrer les dernières nouveautés du système.
Google s'attache à faire passer de plus en plus de composants dans Google Play Services, une brique logicielle indépendante du système bien plus facile à mettre à jour (plus de 90 % des utilisateurs ont la dernière version). C'est le cas de la WebView dans Android 5.0.
