Компания Google объяснила, почему не будет устранять опасную уязвимость в Android версии 4.3 и ниже

Сергей Седов
28 Янв 2015

Компания Google объяснила, почему не будет устранять опасную уязвимость в Android версии 4.3 и ниже

В Сети не так давно появилось множество сообщений с громкими заголовками, суть которых сводилась к тому, что Google не собирается устранять прореху в безопасности, присутствующую в Android версии 4.3 и ниже. Пользователи недоумевали, в чем причина такого решения, но компания хранила молчание. И вот, наконец, на прошлой неделе объяснение было получено.

Для тех, кто не в курсе, напомню, что баг был обнаружен в WebView — компоненте Android, который используется разработчиками для отображения веб-контента в приложениях. Этот компонент был основой стандартного браузера, встроенного в ОС, вплоть до версии 4.3. А это означает, что 60% владельцев Android-устройств по всему миру оказались потенциально подвержены риску взлома.

Итак, почему же разработчики решили не выпускать «заплатку» для одного из встроенных компонентов ОС, при том, что эта уязвимость затрагивает едва ли не миллиард пользователей по всему миру?

По словам Эдриана Людвига, ведущего инженера компании Google по Android-безопасности, такое решение было связано со сложностью создания и установки патчей на ранние версии WebKit – браузерного движка, который использовался в WebView и Chrome до тех пор, пока Google не создала на его основе новый движок Blink.

Проблема в том, что сам по себе WebKit содержит в себе более 5 млн строчек кода, и сотни разработчиков каждый день добавляют к нему что-то свое, так что в большинстве случаев обновление версии движка, которой уже больше 2-х лет, требует изменений в значительной части кода, что требует огромных затрат труда и времени.

А тем временем число пользователей, которым может угрожать опасное «наследство» WebKit, сокращается каждый день, т.к. все больше людей получают обновления или покупают новые устройства. По всей видимости, в Google считают, что пока им удастся устранить эту проблему, она уже будет не актуальна.

Людвиг также дал совет для тех 60% пользователей Android, которые по-прежнему используют версию ОС 4.3 или ниже, порекомендовав использовать браузеры, которые регулярно обновляются через Google Play или браузеры, имеющие отличный от WebView встроенный обработчик контента.

В качестве примеров он привел Chrome, который совместим с Android 4.0 и выше, а также Firefox, который поддерживает Android, начиная с версии 2.3.

Другими словами, не используйте «родной» Android-браузер, который поставляется вместе с Android 4.3 и ниже. Мы, кстати, писали об этом еще в октябре прошлого года.

Кроме того, разработчики, использующие проблемный компонент, теперь «должны будут подтвердить, что только доверенный контент (например, подгружаемый из локального источника или через HTTPS) отображается посредством WebView в их приложении», — заявил Людвиг.

По информации сайта cnet.com, такое объяснение является официальной позицией Google по данному вопросу в настоящий момент.

Алексей Орлов

Оставить комментарий