Na een golf van kritiek die onlangs ontstond omdat Google geen WebView-updates meer voor oudere Android-versies uitbrengt heeft de zoekgigant eindelijk uitgelegd waarom het dit niet meer doet. Het zou namelijk niet praktisch zijn. De standaard Androidbrowser is gebaseerd op de WebKit rendering engine, die wordt gebruikt voor WebView. Dit is een belangrijk onderdeel van Android voor het weergeven van webpagina's.
WebView is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. Onlangs werd bekend dat voor Android Jelly Bean (versie 4.3) en ouder geen WebView-updates meer verschijnen. Dat komt neer op 60% van de Android-toestellen, of zo'n 900 miljoen toestellen. WebView-lekken kunnen echter grote impact hebben en in het verleden zijn er al verschillende kwetsbaarheden in dit onderdeel aangetoond.
Onderzoekers waren dan ook verbaasd toen bleek dat Google deze problemen niet meer in oudere Android-versies patcht. "WebKit bestaat uit meer dan 5 miljoen regels code en honderden ontwikkelaars voegen elke maand duizenden nieuwe commits toe, dus in sommige gevallen vereist het toevoegen van een beveiligingsupdate aan een meer dan twee jaar oude branch van WebKit aanpassingen aan grote delen van de code en is het niet langer meer praktisch om dit veilig te doen", aldus Android-engineer Adrian Ludwig op Google Plus.
Ludwig merkt op dat als meer mensen naar een nieuwere Android-versie upgraden of een nieuw toestel krijgen het aantal kwetsbare gebruikers steeds kleiner wordt. In het geval gebruikers niet naar een nieuwere Android-versie kunnen upgraden geeft de Android-engineer het advies om een browser te gebruiken die via Google Play wordt geüpdatet en applicaties te gebruiken die security best practices toepassen door alleen content in WebView te laden die van betrouwbare bronnen afkomstig is.
Beveiligingsonderzoeker Todd Beardsley van beveiligingsbedrijf Rapid7, die het patchbeleid van WebView-lekken door Google openbaar maakte, vraagt aan Ludwig welke advertentienetwerken te vertrouwen zijn om in WebView te gebruiken. "Misschien zou een door Google gesponsorde audit van deze advertentieaanbieders nodig zijn? Of is dat al gedaan?", zo vraagt hij aan aan de Android-engineer, die nog geen antwoord heeft gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.