Google: oude Androidversies blijven ondersteunen is onhaalbaar
Een veiligheidslek in de interne Webview-browser van Android 4.3 Jelly Bean en ouder, zal niet gerepareerd worden. Dat heeft Adrian Ludwig, Chief of Security for Android bij Google, bevestigd in een officieel blogbericht.
Volgens Ludwig is de browser gebaseerd op een versie van de Webkit-browserengine die meer dan twee jaar oud is. De kwetsbaarheid zal niet verholpen worden omdat het “niet langer praktisch is om dit op een veilige manier te doen”.
[related_article id=”158901″]
Fragmentatie
Zowat 60 procent van alle Android-gebruikers heeft momenteel een versie van het OS dat door de bug geraakt is. Veiligheidsexperts zijn dan ook niet opgezet met het besluit van Google, omdat dit een potentieel risico is voor bijna een miljard mensen. Ludwig stelt ter verdediging dat “het aantal elke dag daalt”.
Volgens Tod Beardsley van het beveiligingsbedrijf Rapid7 is dit een gevolg van de fragmentatie van Android. Met zo veel mensen die zo veel verschillende versies van een besturingssysteem draaien, wordt het immers een erg gecompliceerde zaak om hen allemaal adequaat te beschermen, schrijft hij op zijn blog. Naar de nieuwste versies van het OS upgraden, door een nieuwe telefoon te kopen, zou voor veel mensen ook financieel onhaalbaar zijn.
Beardsley heeft begrip voor de beslissing van Google vanwege de technische complexiteit van een upgrade, maar hoopt toch dat de gigant er op terugkomt omdat zoveel mensen op Android vertrouwen om “de meest persoonlijke details van hun leven te beheren en te beschermen”.
Andere browser
Ludwig raadt gebruikers die met Android 4.3 of ouder werken ondertussen aan om een andere webbrowser te gebruiken, zoals Chrome of Firefox. Dat verhelpt echter maar een deel van het probleem. Ook veel apps maken immers gebruik van Webview om informatie van websites te laten zien.
De Google-topman roept ontwikkelaars daarom op om zo weinig mogelijk informatie in apps af te beelden die niet van het toestel zelf komt, of dat ten minste over beveiligde HTTPS-verbindingen te doen. Een andere oplossing kan zijn om een eigen browserengine te gebruiken.