Vulnerabilitatile gasite in WebView si in alte componente incluse in versiunile vechi ale sistemului de operare Android nu vor mai primi patch-uri de la Google. Incepand cu Android 4.4 (KitKat), Google a introdus o noua versiune WebView bazata pe proiectul open source Chromium.
WebView este o componenta utilizata pentru a afisa pagini web pe smartphone-uri Android. Problema este ca cercetatorii de securitate au gasit si continua sa gaseasca numeroase vulnerabilitati de securitate in versiunea veche de WebView, care este utilizata de browser-ul default inclus in versiunile mai vechi ale Android OS.
Cu toate acestea, se pare ca Google a oprit furnizarea de patch-uri pentru vulnerabilitati care afecteaza aceasta versiune mai veche de WebView, in ciuda faptului ca aproximativ 60% din dispozitivele Android inca ruleaza Android Jelly Bean (4.1 si 4.3), Ice Cream Sandwich (4.0), Gingerbread (2.3) si Froyo (2.2). Conform unor studii recente, aproximativ 930 de milioane de dispozitive ruleaza o versiune a sistemului de operare Android pe care Google o considera outdated.
Echipa de securitate Google a informat ca nu mai dezvolta patch-uri pentru WebView din versiunile Android mai vechi de 4.4. In schimb, cei care raporteaza vulnerabilitati sunt bineveniti sa ofere patch-uri care “vor fi luate in considerare”, a spus Google.
Daca vulnerabilitatile raporate nu sunt insotite de un patch, tot ceea ce poate face Google este sa notifice partenerii sai de existenta lor. In cazul in care un patch este pus la dispozitie, acesta va fi transmis partenerilor.
Procesul de patching a vulnerabilitatilor Android este unul complicat deoarece Google, de obicei, nu informeaza utilizatorii si dezvoltatorii atunci cand o vulnerabilitate a primit patch, iar cei responsabili pentru distribuirea update-urilor de la Google catre clientii lor sunt operatorii de telefonie mobila si producatorii de device-uri.
Prin urmare, daca Google nu va mai emite patch-uri pentru versiunile mai vechi de Android, este putin probabil ca producatorii de smartphone-uri si operatorii de telefonie mobila sa distribuie patch-urile dezvoltate de terti.