Google ha confermato ciò che avevamo riportato già alcune settimane fa (Android: niente update per WebView pre-KitKat): non verrà rilasciata alcuna patch di sicurezza per Android 4.3 “Jelly Bean” e precedenti.
A chiarire la posizione del colosso di Mountain View ci ha pensato il responsabile della sicurezza Android, Adrian Ludwig, con un lungo post su Google+.
La vulnerabilità della discordia: WebView
WebView è il componente utilizzato di default in Android per il rendering e la visualizzazione delle pagine web. Si tratta di un componente importante perché è integrato direttamente in Android ed è utilizzato non soltanto dal browser web predefinito del sistema operativo ma anche da moltissime applicazioni sviluppate da terzi e pubblicate su Google Play.
Alcuni mesi fa è stata scoperta una pericolosa vulnerabilità proprio in WebView che potrebbe consentire ad un aggressore di eseguire codice dannoso sul dispositivo mobile Android dell’utente, semplicemente spronandolo ad aprire una pagina web malevola: Bug nel browser Android colpisce il 70% dei dispositivi.
Fonti vicine a Google hanno più volte anticipato l’intenzione dell’azienda di evitare l’aggiornamento delle versioni più vecchie di Android. Una decisione che ha subito sollevato aspre critiche perché, dati alla mano, quasi il 61% degli utenti Android utilizzano ancor’oggi – sui propri dispositivi – una versione del sistema operativo antecedente alla 4.4 “KitKat”.
La scelta di Google è stata da più parti giudicata sconsiderata soprattutto valutando quanti utenti sarebbero esclusi dall’aggiornamento.
Google prosegue per la sua strada: aggiornate le ultime due versioni di Android
Ludwig nel suo post ha chiarito quale sarà il comportamento che la sua azienda terrà d’ora in avanti. La società s’impegnerà a mantenere sempre aggiornate, rilasciando tempestivamente le patch di sicurezza, le ultime due versioni di Android.
Al momento, quindi, potranno contare sulla disponibilità di aggiornamenti ufficiali solamente coloro che utilizzano Android 5.0 “Lollipop” oppure Android 4.4 “KitKat”.
Il manager di Google spiega che applicare le stesse patch sulle versioni più datate di Android è una procedura estremamente complessa e dispendiosa. Ed aggiunge che i produttori dei dispositivi mobili aggiornati ad Android 4.4 “KitKat” possono già oggi scaricare il codice che risolve la vulnerabilità di WebView e distribuirlo agli utenti.
Google, inoltre, a partire da Android 5.0 “Lollipop” ha fatto in modo di integrare la distribuzione degli aggiornamenti per il sistema operativo direttamente nei servizi Google Play: in questo modo Android sarà aggiornato con le varie patch correttive senza che gli utenti debbano attendere l’intervento dei tecnici dei singoli produttori hardware.
A chi utilizza ancora Android 4.3 “Jelly Bean” o release precedenti, Ludwig consiglia vivamente di utilizzare browser alternativi come Chrome o Firefox che non poggiano sul componente WebView “fallato”.
Da parte nostra ci sentiamo di suggerire massima attenzione nell’utilizzo di app Android che integrano funzionalità web e che quindi possono sfruttare WebView. Inoltre, consigliamo agli utenti più smaliziati di valutare la possibilità di un aggiornamento ad Android 4.4 “KitKat” o 5.0 “Lollipop”, anche non ufficiale: Installare ROM Android e aggiornare all’ultima versione.