Volgens beveiligingsspecialist Tod Beardsley weigert Google een cruciaal onderdeel bij het internetten op oudere Android-versies nog te patchen. 60 procent van de bestaande Android-toestellen wordt daardoor kwetsbaar.
Het gaat om het onderdeel WebView, dat de weergave van webpagina’s op Android-toestellen voor zijn rekening neemt. Dat onderdeel werd in Android 4.4 (KitKat) vervangen door een verbeterde versie.
Een niet bij naam genoemde ontdekker van een nieuwe bug in de oude WebView-versie kreeg tot zijn verbazing van Googles beveiligingsteam te horen dat de zoekgigant in de regel geen patches meer zal ontwikkelen voor versies ouder dan Android 4.4.
Google is wel bereid een eventueel door de ontdekker van het lek ontwikkelde patch in overweging te nemen. Verder beperkt Google zich tot het verwittigen van zijn partners van de ontdekking.
Toen Tod Beardsley daar lucht van kreeg, vroeg hij opheldering bij Google. Hij kreeg ongeveer hetzelfde antwoord.
Alleen browsercomponenten uitgesloten
Merkwaardig genoeg is Google nog wel bereid andere componenten van Android-versies ouder dan 4.4 te patchen.
Dat de WebView-versie uit Android 4.3 en ouder een andere behandeling krijgt, lijkt samen te hangen met het feit dat Google apparaten van derden met de verouderd geachte browsertechnologie van die Android-versies niet langer certificeert.
Dat Google voortaan afziet van het patchen van oudere WebView-versies betekent echter niet per definitie dat er geen patches voor problemen in die component zullen komen. De fabrikanten van de toestellen, of andere enthousiaste individuen, kunnen dat eventueel gaan doen.
Maar dat is een minder eenduidig proces dan wanneer Google het patchen zelf voor zijn rekening zou nemen voor alle Android-versies, meent Beardsley.
60 procent van Android-toestellen geraakt
Het probleem dat Google met zijn beslissing creëert, is van enorme omvang. Android 4.4 (KitKat) draait volgens Googles eigen cijfers op 39 procent van de Android-toestellen. De penetratie van opvolger LolliPop is te verwaarlozen. Dat betekent dat ruim 60 procent van de Android-toestellen geraakt worden door Googles terugtrekking.
Afgaande op marktcijfers praat je dan over 930 miljoen toestellen die op een cruciaal onderdeel buiten Googles beveiligingsprogramma vallen, constateert Beardsley. Beardsley doet een dringende oproep aan de zoekgigant om op zijn beslissing terug te komen.
Bron: Automatiseringgids
