×
Google не будет исправлять уязвимости Android 4.3

После того как Google подверглась критике за публикацию уязвимости Microsoft за два дня до выпуска обновления операционной системы, компания вновь оказалась под градом обвинений за отказ разрабатывать обновления для Android 4.3. Об этом сообщает wired.co.uk.


Впервые за долгое время уязвимость была найдена в компоненте WebView Android 4.3 и всех более ранних версий. Это встроенный браузер, который работает на WebKit-платформе в основе Android.


Android 4.4 и 5.0, использующие для просмотра страниц альтернативную платформу Blink, а не WebKit, не пострадают. Однако, по подсчетам самой Google, порядка 60 % пользователей используют версию 4.3 и ниже. Таким образом, это очень распространенная и оказывающая большое влияние уязвимость. Стандартной процедурой для ее ликвидации является жалоба в Google, которая по итогам ее рассмотрения должна выпустить обновление в рамках Android Open Source Project. Однако команда разработчиков, ведущих платформу Android, ответила на это следующим комментарием: «Если пострадавшая версия WebView находится ниже 4.4, мы не разрабатываем обновления самостоятельно, а выпускаем уведомления для наших партнеров». После более продолжительной переписки инженеры Android сообщили, что отдельные компоненты Android 4.3 получат резервные обновления, однако WebView это не касается. 

 

Кроме того, Google не предоставляет информации о том, какие из уязвимостей Android ликвидированы, а какие все еще представляют опасность. Конечно, выпуск обновления для Google 4.3 был бы только первым шагом, так как скорректированная версия должна быть установлена на новые устройства производителями аппаратных платформ (OEM), однако без первого шага со стороны Google этого нет даже в перспективе.


В прошлом Google отвечала на подобные вызовы, выпустив обновление для уязвимости Heartbleed на Android 4.1.1. Возможность ответных действий со стороны OEM была минимальна, однако она существовала, в отличие от решения проблемы WebView.

 

Автор: Александра Кисель