Google Réponse officielle questions de préoccupations sur Jelly Bean WebView sécurité

Vous avez sans doute remarqué un certain nombre d'histoires récentes (comme celui-ci) prétendant Google abandonnait un énorme partie des utilisateurs d'Android plutôt que de fixer des trous de sécurité de WebView. Il est exactement le genre de chose qui fait bonne clickbait. Google a maintenant publié une déclaration sur les questions de sécurité dans Android 4.3 et plus tôt, essentiellement en soulignant qu'il est impossible de mettre à jour l'ancien code pour toujours et offrant des conseils pour éviter les exploits potentiels.

D'abord un petit retour en arrière-WebView est un composant d'Android qui permet aux développeurs de rendre des pages Web dans des applications sans mettre en œuvre un navigateur complet. Il était basé sur Webkit jusqu'à ce que Google déménagé à Chrome dans Android 4.4 KitKat, mais les trous de sécurité apparaissent seulement dans l'ancienne version fournie avec 4.3 Jelly Bean et plus tôt. La position de Google est qu'il est pas pratique pour intégrer les correctifs de sécurité d'un grand projet open source comme Webkit (des centaines de développeurs, des milliers de commits chaque mois) avec une branche qui est maintenant âgé de deux ans (livré avec Jelly Bean).



Google a déjà dit qu'il serait heureux d'accepter les correctifs si elles sont soumises à PSBA, mais il ne sera pas les développer. Je voudrais ajouter, même si Google patches Webkit pour Jelly Bean, cela ne signifie pas tous les utilisateurs obtiendrait mises à jour. Il est à équipementiers d'envoyer des mises à jour, et tout ce qui est encore sur Jelly Bean à ce point est sans doute pas pris en charge avec des mises à jour plus. Fondamentalement, il a été une mise à jour qui fixe ces problèmes, il a été KitKat, et si votre machine de l'appareil n'a pas livré la mise à jour, vous ne pouvez pas vraiment blâmer Google (ok, vous pouvez, mais il ne sera pas vous mènera nulle part). Lollipop encore améliorée par WebView il dégroupage du système il peut donc être mis à jour via Google Play.



Google ne va pas être patcher l'ancienne branche de Webkit dans Jelly Bean, alors que pouvez-vous faire? La déclaration souligne que toute navigateur avec son propre moteur de rendu, comme Chrome et Firefox, est affecté par les punaises de WebView. Il n'y a que des applications qui implémentent une WebView pour charger le contenu en ligne qui sont potentiellement vulnérables. Les utilisateurs peuvent éviter ces applications complètement désactiver les applications intégrées dans les navigateurs, ou seulement exécuter qui utilisent WebView pour accéder au contenu spécifique connue pour être sûr. Les développeurs sont invités à fournir leur propre moteur de rendu sur Android 4.3 et plus tôt il peut donc être corrigés si nécessaire.

[+ Adrian Ludwig]




» » Google Réponse officielle questions de préoccupations sur Jelly Bean WebView sécurité