Google zal geen patches meer voor WebView-lekken in Android Jelly Bean (4.3) en ouder uitbrengen, wat inhoudt dat bijna een miljard Android-gebruikers met kwetsbaarheden in het mobiele besturingssysteem blijven zitten. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven.
In het verleden zijn verschillende grote beveiligingslekken in WebView ontdekt. In Android KitKat (4.4) is WebView vervangen door een meer recente op Chromium-gebaseerde versie van WebView. Toch verwacht Tod Beardsley van beveiligingsbedrijf Rapid7 dat hiermee geen einde aan de lekken in de oude WeView-versie zal komen. 60% van de Android-toestellen draait namelijk op Jelly Bean en ouder.
Rapid7 heeft recentelijk een nieuwe versie van Metasploit uitgebracht die over 11 exploits beschikt om al deze gebruikers via WebView aan te vallen. Metasploit is een tool die door securityprofessionals en penetratietesters wordt gebruikt voor het testen van systemen en netwerken. Beardsley nam contact op met Google waarom oudere Android-versies geen updates voor WebView meer ontvangen. De zoekgigant stelt in een reactie dat het niet langer apparaten van derde partijen met de Android-browser wil certificeren.
Google adviseert gebruikers dat het gebruik van de meest recente Android-versie de beste manier is om veilig te zijn. Het gaat hier om Lollipop, dat inmiddels op zo'n 0,1% van de Android-toestellen is geïnstalleerd. KitKat, de versie hierna, heeft een marktaandeel van zo'n 40%. "Dit houdt in dat de resterende 60% als "legacy" wordt beschouwd en geen beveiligingsupdate van Google meer ontvangt. In concrete aantallen lijkt het erop dat meer dan 930 miljoen Android-telefoons nu zonder officiële Google beveiligingsupdates zitten", aldus Beardsley.
De zoekgigant liet wel weten dat oude Android-versies nog wel updates voor andere onderdelen kunnen krijgen, zoals mediaspelers. "Dit is goed nieuws voor penetratietesters, want het stelen van bedrijfsgegevens van Android-telefoons zal in zeer veel gevallen kinderlijk eenvoudig worden." Beardsley verwacht dat het uitvoeren van penetratietests op mobiele telefoons steeds vaker voor zal komen. Daarnaast is het volgens de beveiligingsexpert ook goed nieuws voor criminelen, omdat die alles als potentieel doelwit zien.
Beardsley begrijpt de beslissing van Google om oude versies niet meer te ondersteunen, aangezien dit vaak een groot probleem voor softwareontwikkelaars is. "Een miljard mensen vertrouwen echter niet op mijn software om de persoonlijkste gegevens van hun leven te beschermen. In dat opzicht hoop ik dat Google de beslissing heroverweegt als het volgende grote privacylek openbaar wordt."
Deze posting is gelocked. Reageren is niet meer mogelijk.