‘We doen het niet omdat het te veel werk is’. Dat is in een notendop de argumentatie van Google voor het niet langer patchen van het internetonderdeel WebView, waardoor 930 miljoen Androidtoestellen kwetsbaar worden.
Eerder deze maand bond Tod Beardsley de kat de bel aan. Hij had van een bron vernomen dat Google geen patches meer zal ontwikkelen voor de weergavemodule WebView in Android 4.3 en ouder.
Beardsley deed een oproep aan Google om zijn beleid te wijzigen. Op dit moment draait volgens Googles eigen cijfers pas 40 procent van de Android-toestellen op versies 4.4 en hoger. 930 miljoen Android-toestellen die nog wel in gebruik zijn, laat Google daarmee in de kou staan, voerde Beardsley als argument aan.
Googles Adrian Ludwig laat via Google+ weten dat Google geen gehoor zal geven aan de oproep van Tod Beardsley. ‘Het gaat hier om 5 miljoen regels code waaraan honderden ontwikkelaars nog elke maand duizenden nieuwe bijdragen leveren. In sommige gevallen vergt het aanbrengen van een patch aan een twee jaar oude zijtak van WebKit (waarop WebView gebaseerd is, red.) veranderingen aan significante delen van de code. Dat is niet langer op praktische wijze veilig te doen’, schrijft Ludwig.
Gebruikers en app-ontwikkelaars moeten in actie komen
Volgens Ludwig verdwijnt het probleem vanzelf naarmate meer en meer mensen overstappen naar de jongste versies van Android – hetzij door te upgraden, hetzij door een nieuw toestel te kopen. In de tussentijd zouden gebruikers van de toestellen met niet langer ondersteunde WebView-versies gebruik kunnen maken van browsers als Chrome en Firefox, die wel regelmatig een update krijgen. Dat beschermt hen tegen bekende en toekomstige gevaren, aldus Ludwig.
Software-ontwikkelaars kunnen gebruikers van hun app beschermen door alle ‘best practices’ op het gebied van veilig programmeren in acht te nemen, alleen vertrouwde content te laten laden in hun app (uit lokale bron of via een https-verbinding) en in gevallen dat ook met het open internet gecommuniceerd moet worden, hun eigen weergavemodule te ontwikkelen.
Ludwigs bijdrage heeft een levendige discussie doen losbarsten op Google+. Naast mensen die begrip tonen, vragen nogal wat commentatoren zich af waarom Microsoft en Apple wel in staat zijn hun software langduriger te onderhouden, en Google niet. Ook gaat Ludwig wel erg makkelijk voorbij aan het feit dat het gebruik van Chrome of Firefox niet helpt bij het beschermen van apps die WebView gebruiken, luidt de kritiek, terwijl de suggestie aan softwareontwikkelaars om dan maar hun eigen weergavemodule te ontwikkelen als weinig serieuze optie wordt gezien.
Patchbeleid verduidelijkt
Ludwig maakt en passant wel duidelijk waar kopers van Android-toestellen en ontwikkelaars van apps in de toekomst op kunnen rekenen. Google levert patches voor de actuele vertakking van Android in het Android Open Source Project en zal Android-partners voorzien van patches voor ten minste de laatste twee belangrijke versies van het besturingssysteem. Bij de volgende release van Android behoudt Google zich, met andere woorden, het recht voor om de KitKat-versie niet langer te patchen.
