Google kreeg eerder deze week al een storm van kritiek over zich heen van Microsoft en beveiliging-experts nadat het kwetsbaarheid in Windows 8 publiekelijk maakte en nu krijgt het bedrijf ook nog eens kritiek op zijn eigen software policy. Gebruikers van Android die niet op KitKat (4.4) of Lollipop (5.0) draaien lopen namelijk gevaar door een kwetsbaarheid in Android Webview. Het bedrijf uit Mountain View is al enkele maanden op de hoogte van de kwetsbaarheid, maar heeft besloten om geen oplossing te bieden voor oudere versies van Android. Dit betekent dat er 939 miljoen potentiële Android apparaten gevaar lopen.
Volgens Tod Beardsley, beveiligingsonderzoeker voor Rapid7, is Google gestopt met het ontwikkelingen van patches voor WebView versies die voor Android 4.4 KitKat zijn uitgebracht. In de afgelopen maanden hebben verschillende beveiliging-experts bij Google aan de bel getrokken vanwege een aantal gevaarlijke bugs, maar Google weigert een oplossing te bieden, en zegt dat fabrikanten en ontwikkelaars het zelf maar moeten oplossen.
Als het gaat om een versie van WebView die voor Android 4.4 KitKat is uitgebracht, dan ontwikkelingen we doorgaans zelfs geen patches meer, maar ingediende patches nemen we zeker in overweging. Naast het informeren van fabrikanten, zullen we zelf geen actie ondernemen voor versies die voor 4.4 zijn uitgebracht.”, aldus Google in een reactie op een vraag van Beardsley.
De kwetsbaarheid van deze oudere Android versies is gevonden in een belangrijke onderdeel van Android 4.3 Jelly Bean of ouder. Android WebView zorgt er namelijk voor dat apps wegpagina’s kunnen weergeven in een app zonder dat je smartphone of tablet een losse browser als Chrome moet starten. Het risico is daardoor aanzienlijk, omdat WebView ook communiceert met andere Android diensten.
In Android 4.4 KitKat en Android 5.0 Lollipop is WebView door Google vervangen, waardoor de kwetsbaarheid ook direct is verdwenen. Uit de officiële cijfers blijkt echter dat het merendeel van alle Android gebruikers nog niet op KitKat of Lollipop draaien. Volgens de distributiecijfers van Google draait 60% van alle Android apparaten momenteel nog op Jelly Ben (Android 4.1/4.2/4.3) of ouder, terwijl minder dan 40% gebruik maakt van KitKat en slechts 0,1% draait op Android 5.0 Lollipop.
De reden van de beslissing zou te maken hebben met het feit dat Google niet langer derde partijen ondersteunt die de Android Browser toevoegen aan het besturingssysteem. Wanneer we kijken naar andere fabrikanten, dan lijkt het een acceptabele beslissing te zijn. Het ondersteunen van een software product dat twee versies achterloopt komt hedendaags vrijwel niet meer voor. Om je Android apparaat zo veilig mogelijk te houden raden we je aan