Google compromete la seguridad de millones de usuarios al dejar de dar soporte WebView

Google compromete la seguridad de millones de usuarios al dejar de dar soporte WebView

Desarrollo y programación

Google compromete la seguridad de millones de usuarios al dejar de dar soporte WebView

El equipo de seguridad de Google para Android va a dejar de dar actualizaciones y soporte WebView en versiones anteriores a KitKat.

12 enero, 2015 18:21

Android puede que deje de ser tan seguro si no tienes la última versión de Android: el equipo de seguridad de Google para Android va a dejar de dar actualizaciones a WebView en versiones anteriores a KitKat. Una decisión que parece razonable, pero que traerá mucha cola por el acceso minoritario a las últimas versiones del sistema.

Google trata de centrar muchos esfuerzos en materia de seguridad con tal de hacer de Android un sistema más seguro: los fallos son inevitables en cualquier sistema operativo, la clave se encuentra en arreglarlos rápido para que ningún atacante pueda aprovecharlo. Y, por el momento, Google se ha estado portando para hacer el código de Android más y más seguro.

El problema es que parece que la seguridad se ha acabado para aquellos que no quieren actualizar, o no puedan por culpa de la dejadez de operadoras y fabricantes, aunque sea parcialmente. ¿Os acordáis de aquellos fallos de seguridad que sufría el WebView en versiones anteriores a KitKat? Pues, por el momento, esos fallos van a seguir presentes, nos guste o no.

Una decisión para el soporte WebView que traerá cola a Google

El motivo, por lo que podemos leer en SecurityStreet, es que el equipo de seguridad de Android basado en Google dejará de centrar sus esfuerzos en versiones desactualizadas: a partir de ahora, sólo lanzarán parches de seguridad en WebView (una ventana del navegador dentro de una aplicación, por así decirlo) destinados a Android KitKat y Android Lollipop. Todo lo que esté a partir de Jelly Bean se queda atrás, en resumen.

Esta medida sólo afecta a WebView, dado que el resto de componentes del sistema seguirán recibiendo parches adaptados de versiones posteriores. El problema es que un 60% de dispositivos Android conectados a Play Store se van a quedar sin estas actualizaciones de WebView por culpa de esta decisión, y por lo tanto, desprotegidos contra nuevas amenazas que surjan de estas versiones anteriores.

Aunque parece que no todo está perdido, porque Google afirma que va a permitir el desarrollo de terceros en lo que se refiere a parches. No son tan buenas noticias como parece, en realidad: ningún fabricante se va a arriesgar a integrar un parche «creado por un tio aleatorio de Internet», y el lanzamiento de estos parches por parte de los fabricantes (si es que llegan a aplicarlos a su firmware) va a aumentar la fragmentación entre dispositivos con Jelly Bean y anteriores.

Seguridad para unos, banderitas americanas para otros

Es lógico que decidan recortar recursos en una versión cuando esta ya es antigua, su única obligación es mantener el soporte para las últimas versiones, pero no parece muy ético cortar de raíz el soporte que tiene una gran parte de la comunidad contra estas amenazas. ¿Qué opináis vosotros al respecto? ¿Deben centrar mayores esfuerzos en las versiones actuales, o tienen que seguir destinando recursos a las anteriores versiones?