Несколько недель назад выяснилось, что компания не намерена исправлять уязвимость, которой подвержены 60% устройств с Android.
Напомним, уязвимость выявлена в компоненте WebView, который позволяет отображать веб-контент приложениям Android без запуска отдельных приложений. Этой проблеме подвержены устройства с Android 4.3 (Jellybean) и более ранними версиями ОС. Теперь же компания Google объяснила, почему не намерена вносить исправления в компонент WebView для старых версий операционной системы.
Отмечается, что ОС Android 4.4 (KitKat) позволяет OEM-производителям оперативно вносить обновления WebView, которые предоставляет Google. В случае Android 5.0 (Lollipop) производителям и вовсе не нужно заниматься такими обновлениями, так как Google предоставляет их напрямую через Google Play. Потому с обновлением WebView для этих двух операционных систем проблем нет.
Ранее также обеспечивалось обратное портирование версии WebKit, используемой компонентом WebView в ОС Android 4.3 и более ранних версиях. Но сам по себе WebKit включает более 5 млн строк кода. При этом сотни разработчиков ежемесячно дополняют его тысячами правок. В связи с этим, в некоторых случаях внедрение исправлений безопасности для ветки WebKit более чем 2-летней давности требует изменений достаточно больших объемов кода. Такие действия являются непрактичными с точки зрения безопасности.
Тем пользователям, которые вынуждены использовать старые версии ОС Android, для минимизации риска потенциального использования уязвимости WebKit рекомендуется применять обновляемые через Google Play браузеры и проявлять осторожность.
Источник: Google+