Android 4.3 Jelly Bean, nessuna patch per WebView

Google ha comunicato che non rilascerà più aggiornamenti per WebView, il componente del sistema operativo usato per visualizzare le pagine web sui dispositivi che eseguono Android 4.3 Jelly Bean e versioni precedenti. La conferma è arrivata direttamente da Mountain View, dopo la segnalazione inviata dagli esperti di sicurezza di Rapid7 che hanno scoperto ben 11 exploit per WebView, aggiunti poi al kit Metasploit.

Le vulnerabilità non sono presenti su Android 4.4 KitKat e Android 5.0 Lollipop, in quanto queste ultime due versioni del sistema operativo mobile integrano un nuovo componente WebView basato su Chromium. Purtroppo WebView non viene usato solo dal browser stock, ma anche dalle migliaia di app che visualizzano una pagina web. La decisione di Google è quindi piuttosto incomprensibile, considerato che oltre il 60% dei dispositivi nel mondo esegue versioni di Android precedenti a KitKat, come si può vedere dalle seguenti statistiche pubblicate dalla stessa azienda di Mountain View:

Dopo aver informato Google, Rapid7 ha ricevuto questa risposta:

Se la versione di WebView è precedente alla 4.4, noi non sviluppiamo più le patch […] Oltre che notificare gli OEM, non intraprenderemo nessuna azione su report relativi alle versioni precedenti la 4.4 che non sono accompagnate con una patch.

Detto in breve, Google non svilupperà più patch per il componente, ma accetterà volentieri patch sviluppate da altri. Gli utenti che usano vecchie versioni di Android (sono oltre 930 milioni!) saranno obbligati ad installare KitKat o Lollipop, una possibilità preclusa a molti dispositivi, oppure attendere la distribuzione di un aggiornamento da parte dei produttori. Ma qualcuno ricorda l’ultima patch rilasciata da Samsung, LG o HTC? È quasi certo che non avverrà mai, perché il loro obiettivo è vendere i nuovi modelli.

Google probabilmente ha deciso che Android 4.3 Jelly Bean è troppo vecchio. L’azienda di Mountain View, a differenza di Microsoft, non ha una chiara policy EOL (End-Of-Life) per il suo sistema operativo. In questo caso, non è possibile sapere quali componenti riceveranno gli update di sicurezza. Rapid7 spera che Google riconsideri la sua decisione e abbandoni gli utenti solo quando la diffusione di una versione scende sotto una determinata soglia.