Cuestiones Google Respuesta oficial a las preocupaciones sobre Jelly Bean WebView Seguridad

Usted puede haber notado una serie de historias recientes (como éste) alegando Google estaba abandonando una enorme porción de los usuarios de Android en lugar de arreglar los agujeros de seguridad WebView. Es exactamente el tipo de cosa que hace buena clickbait. Google ha publicado una declaración sobre las cuestiones de seguridad en Android 4.3 y versiones anteriores, básicamente, señalando que no es factible para actualizar código antiguo para siempre y ofreciendo consejos para evitar cualquier posible intrusión.

Primero un poco de historia-WebView es un componente de Android que permite a los desarrolladores hacen páginas web en aplicaciones sin implementar un navegador completo. Estaba basado en Webkit, hasta Google trasladado a cromo en Android 4.4 KitKat, pero los agujeros de seguridad sólo aparecen en la versión anterior liado con 4.3 Jelly Bean y anteriores. La posición de Google es que no es práctico para integrar los parches de seguridad de un gran proyecto de código abierto como Webkit (cientos de desarrolladores, miles de commit cada mes) con una rama que ahora tiene dos años (incluido con Jelly Bean).

Google ya se ha dicho que sería feliz de aceptar parches si se someten a AOSP, pero no va a ser el desarrollo de ellos. Yo añadiría, incluso si Google parchea Webkit para Jelly Bean, eso no significa que cualquier usuario podría obtener actualizaciones. Depende de los OEM para enviar actualizaciones, y todo lo que aún está en Jelly Bean en este punto, probablemente, no es compatible con las actualizaciones más. Básicamente, hay era una actualización que fija estos problemas era KitKat, y si su fabricante de dispositivos no entregar la actualización, realmente no se puede culpar a Google (bueno, se puede, pero no va a llegar a ninguna parte). Lollipop mejorado WebView por desagregación desde el sistema por lo que se puede actualizar a través de Google Play.

Google no va a ser un parche en el antiguo brazo Webkit en Jelly Bean, ¿y qué puede hacer usted? La declaración señala que cualquier navegador con su propio motor de renderizado, como Chrome y Firefox, no se ve afectada por los insectos WebView. Es sólo aplicaciones que implementan un WebView para cargar contenido en línea que son potencialmente vulnerables. Los usuarios pueden evitar estas aplicaciones completamente, desactivar las aplicaciones integradas en los navegadores, o la única carrera que utilizan WebView para acceder al contenido específico conocido para estar seguro. Se recomienda a los desarrolladores para proporcionar su propio procesador en Android 4.3 y versiones anteriores por lo que se pueden asignar según sea necesario.

[+ Adrian Ludwig]


» » Cuestiones Google Respuesta oficial a las preocupaciones sobre Jelly Bean WebView Seguridad