Google Chrome, le bavard !

Hello,
Aujourd’hui je vais  parler de Google Chrome bien que je ne l’utilise pas ! (plus depuis un moment)

Ce petit billet va s’articuler autours de cette vulnérabilité :
https://seclists.org/fulldisclosure/2019/Jan/2

Alors vous n’êtes pas sans savoir que sur Android, il existe plusieurs navigateurs Web tel Firefox. Le plus utilisé d’entre eux est “Google Chrome” sans grande surprise.
Il peut en exister d’autres, mais globalement ils utiliseront soit le moteur de Chrome (WebView) soit celui de Firefox (Gecko).
Microsoft possédait lui aussi le sien fait maison (Edge), mais abandonné récemment au profit de WebView.

Entre parenthèses, un problème de grande taille est en train de se poser, vis-à-vis de la domination du Web par Google via WebView.
Domination sous plusieurs formes, mais ce n’est pas le but du billet de l’expliquer, et je m’y prendrai sûrement très mal.

Seulement voila, sur mobile, Chrome est un peu trop bavard par défaut et divulgue une info qui peut être considéré comme “sensible” pour le terminal via le “HTTP Header”. Cette info est le “Build Number” soit le Numéro de version du système installé sur votre téléphone. Ce numéro est spécifique à l’appareil et est choisi par le fabricant.
Une personne mal intentionné peut se servir de ce Numéro de Build pour connaître les vulnérabilités du téléphone. Avec ce numéro, on connaît la version exacte du système Android et à quelle niveau il en est vis-à-vis des Mises à jours de sécurité.

General Header. Request Line. Status Line. Request Header. Response Header. Entity Header. Empty Line. Message Body. (entity body or encoded entity body.

La disclosure annonce que Chrome fût mis à jour, et que le problème est réglé.

Du coup j’ai look dans mes logs apaches en mode gros porc (avec un cat et un grep), voici un résultat au hasard pour Chrome:
(Linux; Android 7.0; SM-G928F Build/NRD90M;wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/71.0.3578.99 Mobile Safari/537.36"
SM-G928F => GalaxyS7
NRD90M => Android 7.0.0, première build de Android Nougat, date de 2016…

Et voici deux En-tête HTTP différents depuis Firefox sur un Android :
(Android 8.1.0; Mobile; rv:64.0) Gecko/64.0 Firefox/64.0"
(Android 4.4.2; Tablet; rv:62.0) Gecko/62.0 Firefox/62.0"

C’est beaucoup moins bavard ! On peut savoir la version d’Android certes de base, mais pas le modèle de l’appareil, ni le numéro de version.

Ce qui est “Con” c’est que Chrome laisse fuiter une info comme ça tranquille alors que sur Firefox il faudrait vous l’extirper à coup de JS.
Pour le navigateur le plus utilise c’est très moyen. Et il y a de grandes chances qu’a l’avenir, grâce a leur futur hégémonie, Google contrôlera les standards du web de manière implicite…
Du coup sur un Android je conseille Firefox, sur le store Fdroid vous trouverez Fennec que je conseil. Et on y installe Noscript et ublock-origin à minima.
Si vous persistez à utiliser Google Chrome, apparemment vous êtes “protégés” en utilisant la fonction “Voir version ordinateur” (Je n’ai pas fait de test).

@++ et hésitez pas à réagir 😉 .

https://www.androidpolice.com/2016/08/23/aosp-changelog-posted-for-android-nougat-v7-0-0_r1-nrd90m/
https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google-Android.html
https://www.androidpolice.com/android-build-number-date-calculator/

2 réflexions sur « Google Chrome, le bavard ! »

    1. Hello,
      Il ne faut pas rester sans voix, a partir du moment ou tu es connecte a internet dis toi que rien n’est réellement “confidentiel”, déjà tu auras un usage moins à “risque”.
      Ensuite dans l’article que tu as cités, avec les modules utilises il te montre déjà comment rendre Firefox plus respectueux via quelques addons notamment umatrix et ublock origins.
      Sinon en navigateurs alternatifs tu as Falkon, ou Vivaldi de tête.

      Après faut pas confondre les deux sujets même si étroitement liées.
      Mon article traite du fait que Chrome laisse fuiter une info pas si anodine. A chaque fois que tu visiteras un site web, cette info sera donnée de base et enregistres dans les logs.
      Ça peut être un souci de sécurité, mais ça ne l’est pas vraiment. Ça peut faciliter le tracking aussi mais JS est plus efficace.
      L’article que tu montre cite des soucis de vie privées, pas de sécu.

      j’espere t’avoir “eclaire” 🙂

      @++

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix − huit =