2015/01/13

Androids pré-KitKat ficam com vulnerabilidades no WebView por corrrigir

A questão do suporte para sistemas que vão ficando para trás no tempo é sempre complicada, e agora é o Google que é criticado por dar por terminadas as actualizações de segurança para o webview nos Android pré-KitKat, que ainda representam a maioria dos equipamentos no mercado.

O WebView é um componente que permite a qualquer app apresentar conteúdo web, na prática tratando-se de uma "janela" para o browser do sistema. Qualquer vulnerabilidade que contenha multiplica-se automaticamente por milhões de apps que a utilizam, e é por isso uma situação que se torna mais preocupante (no Android 4.4 KitKat passamos a ter o Chrome como browser do sistema, que agiliza o processo).

Outro aspecto que não ajuda o Google são as estatísticas da distribuição do Android, que revelam que mais de metade do mercado ainda usa estes Android mais antigos afectados por estas vulnerabilidades, e que representam cerca de mil milhões de equipamentos que se tornam num alvo preferencial para atacantes que procurem tirar partido destas falhas.


Por outro lado, estamos a falar de sistemas que já contam com vários anos (embora o mais recente 4.3 tenha sido lançado em Outubro de 2013, nem sequer há 18 meses), e que mesmo assim já têm recebido actualizações por intermédio do sistema que o Google implementou para contornar o facto de praticamente nenhum fabricante se dignar em lançar actualizações para os seus equipamentos: fazendo-as por meio do Google Play Services.

Ainda assim, há quem não deixe de ver esta posição como uma forma de forçar alguns fabricantes a deixarem de se aproveitar do Android open-source e optarem pela versão "certificada" pelo Google, com actualizações garantidas (e ainda mais no caso de optarem pelos programas Android One, por exemplo). Mas aqui a questão é: quantos dos tais potenciais mil milhões de utilizadores estará consciente de que estão a usar um dispositivo que pode ter falhas graves e que poderá colocar a sua vida digital em risco?

Será que o Google não deveria garantir estas actualizações de segurança, pelo menos durante 18-24 meses, ou até mais... se a quota de mercado ainda mostrar que existem muitas centenas de milhões de utilizadores que serão afectados?


P.S. O Google não diz que não fará mais actualizações de segurança neste componente... apenas que não fará as correcções ele próprio, mas que está receptivo a que developers e parceiros enviem as suas próprias correcções para que sejam analisadas e consideradas.
ão

1 comentário:

  1. Não chego a perceber de quem é a culpa...se da google se dos fabricantes, acho que os fabricantes deviam apoiar sempre os seus terminais...ainda para mais com os specs que muitos "smartphones antigos" apresentam...e os specs necessários para correr as novas versões do sistema.

    aqui a discussão vai interessante:

    http://www.reddit.com/r/Android/comments/2s5zl1/google_under_fire_for_quietly_killing_critical/

    ResponderEliminar