Google “alza le sopracciglia”, in segno di disinteresse, e prende una decisione “scioccante”. Così la società di sicurezza Rapid 7 ha bollato la scelta, compiuta da Big G, di interrompere gli aggiornamenti di sicurezza per WebView, strumento centrale di Android, fino alla release 4.3, Jelly Bean. In sostanza, tutte le versioni della piattaforma precedenti a KitKat non beneficeranno più di update per una componente chiave del sistema operativo, componente usata per far funzionare il browser di Android e che è spesso veicolo degli attacchi cybercriminali.
E il fatto è particolarmente grave se si pensa che, attualmente, il 60% dei terminali con a bordo il robottino impiegano Jelly Bean o versioni precedenti. In altre parole, 939 milioni di utenti – non apertamente avvisati da Google – rimarranno senza update di sicurezza per il punto debole conclamato di Android. In KitKat, WebView è stato sostituito da Chrome, mentre nel fresco di debutto Android 5.0, Lollipop, è tornato in una versione pesantemente modificata.
Intervistato da Forbes, l’engineering manager di Rapid 7 Tod Beardsley ha spiegato che WebView “è il modo in cui un’applicazione riproduce una pagina Internet o un contentuo Web-based, come un’inserzione pubblicitaria. E WebView è per eccellenza il vettore di attacco per Android. Rappresenta il modo in cui i terminali comunicano con Internet, e dunque i criminali lo sfruttano creando siti Web e sperando che qualcuno ci clicchi sopra”. WebView è anche il primo vettore per attacchi basati sull’esecuzione di codice da remoto sui terminali Android.
Beardsley ha criticato la scelta di Google non solo per le sue conseguenze, ma anche per le modalità, dal momento che nessun annuncio ufficiale è stato fatto per allertare gli utenti. L’interruzione degli aggiornamenti è stata comunicata a Rapid 7 dal team di sicurezza di Android, in risposta a una segnalazione di vulnerabilità inviata in quel di Mountain View.
“Non rilasciamo più patch per WebView”, hanno scritto gli esperti sicurezza del robottino, mitigando poi l’affermazione: “Se la versione affetta da problemi è precedente alla 4.4, non sviluppiamo in prima persona delle patch ma accogliamo i correttivi segnalati dal vostro report. Oltre a inviare notifiche agli Oem, non potremo agire ulteriormente su alcuna segnalazione riguardante versioni precedenti alla 4.4, se non accompagnate da patch”.
Rimane dunque uno spiraglio, rappresentato dagli aggiornamenti sviluppati dai vendor di sicurezza che si prendano la briga di segnalare il problema e di proporre una soluzione a Google. Quest’ultima, in ogni caso, non si preoccuperà né di monitorare né di agire in prima persona, ma si limiterà ad accogliere i suggerimenti.