Google za nic ma bezpieczeństwo 930 mln użytkowników Androida
W Androidzie 4.4 programiści firmy Google zdecydowali się na wykorzystanie nowej wersji komponentu WebView, który bazuje na silniku JavaScript V8 wykorzystywanym w przeglądarkach Chromium i Google Chrome. Spore kontrowersje wywołuje decyzja o zaniechaniu publikowania aktualizacji dla starszych wersji komponentu, dostępnych w starszych wersjach Androida. W związku z tym około 930 milionów użytkowników systemu Google zostało pozbawionych kluczowej aktualizacji bezpieczeństwa.
WebView to komponent Androida odpowiedzialny przede wszystkim za renderowanie stron internetowych. Jest on wykorzystywany zarówno w domyślnej przeglądarce systemu, jak i we wszystkich sytuacjach, kiedy inne aplikacje wymagają rysowania stron, na przykład podczas prośby o autoryzację pobrania danych z Google lub Facebooka.
Zmiana silnika na V8 wiąże się przede wszystkim ze znacznym wzrostem wydajności w generowaniu stron internetowych, co można zaobserwować w opublikowanym przez Tima Roesa porównaniu. W niektórych przypadkach wydajność wzrosła nawet o 350%. Postanowienie o aktualizacji silnika jest zatem jak najbardziej uzasadnione i powinno korzystnie wpłynąć na komfort użytkowania androidowej przeglądarki i całego systemu w ogóle.
Trudno jednak uzasadnić decyzję o rezygnacji z wydawania aktualizacji dla starszych wersji silnika. Po wprowadzeniu nowej polityki, pozbawionych aktualizacji bezpieczeństwa pozostanie bowiem aż 930 milionów osób. Jedyną możliwością jest dla nich oczekiwanie wydania Androida 4.4 na ich modele, a jeśli takie nie jest planowane, kupno nowego urządzenia. Rozwiązania nie stanowi także zmiana przeglądarki, gdyż komponent WebView może być wykorzystywany przez inne aplikacje, co może stanowić zagrożenie dla bezpieczeństwa systemu.
Problem jest poważny, co potwierdza Tod Beardsley z zajmującej się kwestiami bezpieczeństwa firmy Rapid7. W WebView wciąż odnajdywane są kolejne luki w zabezpieczeniach. Specjalista krytycznie ocenia całą sytuację i sugeruje twórcom systemu Android ponowne rozważnie swojej decyzji o rezygnacji z aktualizacji WebView w starszych wersjach Androida.