Non tutto il codice fallato merita di essere sistemato, nemmeno se è in uso presso larga parte degli utenti: Google non ritiene necesario muoversi in prima persona per riparare a dei bug che colpiscono le versioni antecedenti a KitKat, lasciando gli utenti di Android 4.3 e delle release precedenti, che animano circa il 60 per cento dei terminali censiti da Mountain View, esposti a potenziali attacchi.
La questione è segnalata da Tod Beardsley, ricercatore di sicurezza di Rapid7: ci sono delle falle che colpiscono WebView , componente di Android che permette alle app di mostrare contenuti web all’interno delle applicazioni stesse, senza reindirizzare l’utente sul browser. Con l’avvento di Android 4.4 WebView accantona WebKit per basarsi su Chromium, per poi scindersi dal sistema operativo con l’aggiornamento a Lollipop, così da garantire più tempestività e precisione negli update attraverso Google Play . Beardsley spiega che se per le release più recenti Google provvede alle patch e le rende pubbliche attraverso l’Android Open Source Project, per le versioni precedenti Mountain View lascerà che siano sviluppatori terzi a proporre una soluzione a favore di coloro che desiderino aggiornare .
La conferma giunge direttamente dall’ Android security team : “Se la versione di WebView colpita è precedente alla 4.4 – viene spiegato al ricercatore – generalmente non sviluppiamo le patch ma informiamo i partner della questione”. Spetterà poi agli OEM decidere sul da farsi .
Beardsley lamenta sostanzialmente la mancanza di trasparenza da parte di Google: se la scelta di limitare il supporto alle vecchie release potrebbe essere ragionevole dal punto di vista della sicurezza e del mercato, mancherebbe da parte della Grande G una politica uniforme e chiara riguardo alla scansione temporale dell’esaurimento del supporto, oltre ad un database delle vulnerabilità ancora da risolvere per i sistemi operativi meno recenti. Un atteggiamento che in qualche modo stride con quello tenuto nei confronti della concorrenza: Microsoft, che opera secondo una rigida scansione tremporale per i propri update e che segue una tabella di marcia di ampio respiro per il supporto ai propri prodotti , è stata svergognata dalla Grande G per una patch in ritardo di pochi giorni sulle tempistiche concesse da Google Project Zero.
Gaia Bottà