Google zet 930 miljoen Androidgebruikers in de kou
Google gaat oude versies van Webview niet meer updaten. Webview is de standaard-app in Android waarmee webpagina’s kunnen geopend worden, zonder daarvoor een andere app te moeten gebruiken.
Concreet gaat het om alle versies die draaien op Android 4.3 Jelly Bean en vroeger. De beslissing van Google komt als een verrassing omdat meer dan 930 miljoen gebruikers er door getroffen worden. Heel wat apps en ook reclamenetwerken maken gebruik van Webview.
[related_article id=”158901″]
Bizar besluit
Het nieuws komt van veiligheidsonderzoeker Tod Beardsley van Rapid7, die het op zijn beurt te horen kreeg van Rafay Baloch, een Pakistaanse white hat hacker. Beardsley noemt dit een bizar besluit, omdat Webview een zeer geliefd middel is bij hackers om Androidsmartphones aan te vallen. In het stukje software zijn, over de jaren heen, ook al heel veel fouten gevonden en weer gerepareerd.
Het is nu aan derden
Google maakt dan wel geen updates meer voor Webview, het bedrijf geeft wel derden de kans om dat te doen. Het bedrijf zal die updates ook mee opnemen in de AOSP-versies van Android (Android Open Source Project) en doorspelen aan OEM’s en fabrikanten. Maar daar stop haar verantwoordelijkheid.
Volgens Beardsley heeft de reden dat Google nu stopt met het ondersteunen van oude Webview-versies waarschijnlijk veel te maken met het uitbrengen van Android 5.0 Lollipop. In die versie wordt de veiligheid van Webview compleet anders aangepakt dan in oude versies. Het updaten verloopt ook niet meer via firmware-updates, maar via de Google Play-winkel.
Stekker eruit
Beardsley bekritiseert ook het feit dat Google geen vaste politiek heeft om met verouderde versies van Android om te gaan. In theorie kan het bedrijf op elk ogenblik besluiten om de stekker uit een oude versie te trekken en de gebruikers aan hun lot over te laten.
De beste remedie daartegen is natuurlijk om zo snel mogelijk je telefoon van de laatste Androidversie te voorzien, ware het niet dat hele hordes van oudere telefoons gewoon niet naar Lollipop kunnen geüpdatet worden.