Cybersécurité

Google corrige une faille sur le Chrome pour Android qui existe depuis trois ans

Durant ces trois ans, cette faille aurait pu être utilisée pour lancer des attaques

Trois ans après le rapport de cette faille, Google s’est finalement décidé à la corriger. Cette dernière rendait vulnérable la confidentialité du navigateur web Chrome. De plus, ce problème aurait pu donner une opportunité aux hackers d’identifier les appareils non mis à jour et de les pirater. Ce n’est pas la première faille que la firme de Mountain View règle. En effet, en 2018 une faille avait déjà touchée les données de 500 000 utilisateurs.

Google Chrome, pour les Android, révélait des informations via le firmware. La faille est un bug de divulgation des informations qui réside dans la rubrique « user agent » des smartphones Android, qui inclut le nom de l’appareil ainsi que son firmware. De plus, ces informations sont également envoyées aux applications qui utilisent les API Webview et Chrome Tabs, qui peuvent être utilisées pour suivre les propriétaires ou leur dispositif d’empreintes digitales. Cependant, aucun numéro de CVE n’a pour le moment été donné.

Selon Yakov Shafranovich, un contributeur de Nightwatch Cybersecurity, le problème avait été signalé il y a trois ans, cependant la firme avait rejeté le rapport en affirmant que tout fonctionnait correctement. Shafranovich avait par la suite déclaré que « bien qu’Android offre la possibilité de les remplacer ((via WebSettings.setUserAgent) dans WebView), la plupart des applications choisissent de ne pas le faire pour assurer la compatibilité en s’appuyant sur l’interface par défaut » il ajoute à cela que « pour beaucoup d’appareils, cela peut être utilisé pour identifier non seulement l’appareil lui-même mais aussi le transporteur sur lequel il fonctionne et à partir de là le pays ». Ce dispositif peut également être utilisé pour déterminer le niveau de sécurité d’un appareil ainsi que ses différentes vulnérabilités afin de le pirater de manière ciblée.

Toutefois, Google a résolu le problème de Chrome, après qu’un autre rapport ait été fait par un utilisateur du forum de Google Chrome. Selon des chercheurs, la mise à jour de Chrome 70 aurait uniquement supprimé les informations de construction du firmware, cependant l’identifiant est toujours disponible dans la rubrique « user agent ». Néanmoins, la mise à jour ne s’applique qu’à l’application elle-même et non à WebView, c’est pourquoi il est conseillé aux développeurs d’applications de remplacer manuellement la configuration de l’user agent.

Yakov Shafranovich affirme que « à la différence du Chrome de bureau, sur Android, aucune extension ou surcharge n’est possible pour changer l’en-tête autre que l’option « Request Desktop Site » sur le navigateur lui-même pour la session en cours » et termine en déclarant que « les fournisseurs et le MITRE ont refusé d’émettre un numéro CVE pour suivre cette affaire, car ils ne la considèrent pas comme étant liée à la sécurité ».

Google Chrome pour Android est décrit par Shafranovich comme peu fiable dans ses précédentes moutures, c’est pourquoi il préconise de passer à la version 70 ou 71, qui toutes deux proposent une meilleure sécurité. D’autant plus que la nouvelle mise à jour de Chrome 71 est disponible avec un bloqueur de publicités.

Send this to a friend