Désastre, catastrophe... Les mots sont forts dans ce billet de la société Rapid7. Mais il est vrai que le cas est grave.

Normalement, lorsque vous naviguez et que vous ouvrez plusieurs onglets simultanément, le code JavaScript téléchargé pour un site A, et donc s'exécutant dans un onglet, ne peut pas accéder aux données chargées pour un autre site B et donc appartenant à un autre onglet. Autrement dit, l'environnement d'exécution de JavaScript est confiné au contexte qu'est la page ou au domaine auquel appartient la page, s'il s'agit d'accéder à des ressources supplémentaires. Une restriction qui s'appelle la Same Origin Policy, ou SOP.

Seulement voilà, le navigateur par défaut d'Android, qui est le navigateur Android Open Source Project ou AOSP ne respecte pas tout simplement pas la SOP.

Concrètement, cela signifie plein de chose rigolotes. Par exemple si vous avez gardé un webmail ouvert et que vous visitez depuis un autre onglet une page web dont le JavaScript exploite cette faille, l'attaquant peut lire tous vos mails.

De la même manière un attaquant peut dérober des cookies de sessions. Des cookies de connexion au site de votre banque par exemple, pour s'y connecter en usurpant votre identité. Et pour faire bonne mesure, il peut aussi voler les mots de passe stockés par le navigateur.

Donc oui, la vulnérabilité mérite le nom de catastrophe, même si elle n'aurait pas encore été exploitée jusqu'à ce jour. L'information est bien sûr à prendre avec les plus grandes réserves, et de toutes façons, puisque cette faille est désormais rendue publique, et qu'elle est facile à exploiter, les exploits ne vont pas tarder.

Sont potentiellement touchés tous les systèmes Android antérieurs à Android 4.4 alias KitKat, ce qui représente à l'heure actuelle 75% des smartphones Android.

Potentiellement, car bien sûr seuls les utilisateurs qui utilisent le navigateur par défaut AOSP peuvent être attaqués par ce moyen. Et, à priori, la seule façon de se protéger de cette vulnérabilité est pour l'instant d'utiliser un navigateur alternatif, si l'on ne peut pas mettre à jour son smartphone vers Android KitKat..

Google a été averti par Rapid7 mais n'a pour l'instant pas réagi.