Sở hữu một chiếc điện thoại thông minh đang chạy Android 4.3 Jelly Bean hoặc một phiên bản cũ hơn của hệ điều hành Android ?? Sau đó, bạn đang gặp rủi ro lớn, và có thể điều này sẽ không bao giờ kết thúc.
WebView là thành phần cốt lõi được sử dụng để hiển thị trang web trên thiết bị Android, nhưng nó đã được thay thế trên Android 4.4 KitKat bằng phiên bản WebView dựa trên Chromium mới hơn cũng được sử dụng trong trình duyệt web Chrome.
Chỉ một ngày sau khi Google công bố một lỗi trong Windows 8.1 trước khi Microsoft có thể làm bất cứ điều gì về nó, Tod Beardsley, một nhà phân tích bảo mật từ Rapid7, người giám sát dự án Metasploit, đã phát hiện ra một lỗi nghiêm trọng trong thành phần WebView của Android 4.3 trở về trước có thể khiến hàng triệu người thiệt mạng. của người dùng điện thoại thông minh Android dễ bị tin tặc độc hại.
Android KitKit 4.4 và Lollipop 5.0 không bị ảnh hưởng bởi lỗ hổng, nhưng hơn 60 phần trăm người dùng Android – gần một tỷ người (950 triệu) – vẫn sử dụng phiên bản cũ hơn của Android 4.3 trở xuống, điều này cho biết rõ ràng rằng lỗi này vẫn ảnh hưởng hơn rất nhiều người.
Tuy nhiên, phản hồi từ Google sau khi Beardsley thông báo về lỗ hổng đã khiến anh và tất cả chúng tôi choáng váng. Chà, gã khổng lồ công nghệ sẽ không vá lỗ hổng trong WebView. Trích dẫn từ Google cho Beardsley như sau:
“Nếu phiên bản bị ảnh hưởng [of WebView] trước phiên bản 4.4, chúng tôi thường không tự phát triển các bản vá nhưng hoan nghênh các bản vá kèm theo báo cáo để xem xét. Ngoài việc thông báo cho OEM, chúng tôi sẽ không thể thực hiện hành động đối với bất kỳ báo cáo nào ảnh hưởng đến các phiên bản trước 4.4 không đi kèm với bản vá lỗi.“
Do đó, chỉ những thiết bị chạy KitKit 4.4 và Lollipop 5.0 mới nhận được bản cập nhật bảo mật cho WebView từ Google và các phiên bản Android còn lại sẽ vẫn chưa được vá hoặc dựa vào các bản sửa lỗi từ nhà phát triển bên thứ ba. Công ty đã nói rằng họ sẽ hoan nghênh các bản vá lỗi của bên thứ ba.
“Lý do của Google cho sự thay đổi chính sách này là họ ‘không còn chứng nhận các thiết bị của bên thứ 3 bao gồm Trình duyệt Android’ và ‘cách tốt nhất để đảm bảo rằng các thiết bị Android được an toàn là cập nhật chúng lên phiên bản Android mới nhất’,” Beardsley giải thích.
“Nhìn bề ngoài, đây có vẻ là một quyết định hợp lý. Việc duy trì hỗ trợ cho một sản phẩm phần mềm chậm hơn hai phiên bản sẽ là điều khá bất thường trong cả thế giới phần mềm độc quyền và phần mềm nguồn mở.“
Nói cách khác, trong trường hợp nếu hacker hoặc tội phạm mạng tìm cách khai thác WebView trên các phiên bản Android OS cũ hơn, Google sẽ không phát hành bất kỳ bản vá nào cho chính lỗ hổng đó. Tuy nhiên, nếu bất kỳ bên ngoài nào phát triển một bản vá, Google sẽ kết hợp các bản vá đó vào mã Dự án mã nguồn mở Android và sẽ tiếp tục cung cấp chúng cho các nhà sản xuất thiết bị cầm tay. Đây là nơi trách nhiệm của công ty kết thúc.
Mặc dù vậy, Google nói rằng hỗ trợ WebView trong các phiên bản cũ hơn của hệ điều hành Android được tích hợp chặt chẽ vào hệ điều hành theo cách khiến Google khó tạo bản vá cho các thiết bị bị ảnh hưởng hơn nhiều. Vấn đề này đã được gã khổng lồ công cụ tìm kiếm giảm thiểu trong các phiên bản Android mới hơn bằng cách loại bỏ WebView khỏi hệ điều hành lõi và tích hợp nó vào ứng dụng Dịch vụ của Google Play.