Google nieudolnie tłumaczy porzucenie wsparcia dla starszego Androida
Firma Google próbuje tłumaczyć się ze swojej decyzji o porzuceniu wsparcia dla niemal miliarda urządzeń z systemem Android, na których w efekcie może dochodzić do poważnych naruszeń bezpieczeństwa. Sprawa dotyczy komponentu WebView, który w zaktualizowanej wersji jest dostępny tylko dla osób korzystających z Androida 4.4 KitKat oraz 5.0 Lollipop, a to oznacza, że tak naprawdę tylko dla części osób.
Gdyby problem dotyczył jedynie przeglądarki internetowej, to tak naprawdę nie byłby niczym poważnym, bo zawsze można poinstruować użytkowników, aby skorzystali z aplikacji do serfowania w Internecie innej, niż ta domyślnie zainstalowana na danym smartfonie czy tablecie. Rzecz w tym, że komponent WebView jest używany nie tylko w przeglądarkach, ale i w każdej sytuacji, gdy potrzebne jest wyrenderowanie strony internetowej lub jakiegoś jej elementu – wiele aplikacji wykorzystuje go np. do wyświetlenia strony, na której logujemy się do jakiejś sieci społecznościowej nadającej aplikacji nasze uprawnienia. W Androidzie 4.4 wprowadzono jego nową wersję korzystającą z silnika JavaScript V8 z projektu Chromium, który jest znacznie szybszy, ale jednocześnie zdecydowano o zaprzestaniu aktualizacji starszych wersji, co wzbudziło oburzenie wielu zainteresowanych tematem.
Na łamach sieci Google+ znajdziemy wypowiedź jednego z pracowników Google, Adriana Ludwiga, który stara się wyjaśnić tę decyzję. W zasadzie trudno to nazwać tłumaczeniem, o wiele lepszym określeniem jest po prostu marketingowe czarowanie, które na nic się zdaje: Ludwig przyznaje, że zapewnienie bezpieczeństwa jest trudne, że producenci sprzętu otrzymują aktualizacje dla wersji 4.4, a w przypadku Androida 5.0 Lollipop to Google może aktualizować komponent bezpośrednio poprzez sklep Play.
WebView ma być komponentem złożonym z ponad 5 milionów linii kodu i w efekcie wprowadzanie poprawek bezpieczeństwa dla wydań liczących ponad dwa lata miałoby oznaczać zbyt istotne zmiany, których nie da się wprowadzić w sposób bezpieczny dla całości. Jednocześnie pracownik korporacji zaznacza, że problem jest coraz mniejszy, bo coraz więcej użytkowników korzysta z nowszych wydań, gdzie problem nie występuje. Programistom zaleca się stosowanie do oficjalnych poradników bezpiecznego używania WebView, a użytkownikom… skorzystanie z np. mobilnej wersji Google Chrome czy Firefoksa, które są aktualizowane na bieżąco, dostępne dla starszych wersji Androida, a także znacznie bezpieczniejsze.
Niestety, tłumaczenie takie trudno przyjąć do wiadomości – jak już wspomniano, WebView to nie tylko przeglądarka, ale i inne aplikacje. Te nadal będą narażone na ataki, bo po prostu system udostępnia jedynie przestarzałą i dziurawą wersję komponentu. Oczywiście liczba użytkowników nowych wersji Androida systematycznie rośnie, ale gdy popatrzymy na oficjalne statystyki, to i tak wygląda to kiepsko: obecnie wersja Lollipop niemalże „nie istnieje”, a przecież od jej premiery minęły już cztery miesiące. KitKat znajduje się na około 39% urządzeń, a cała reszta to nieaktualizowany Jelly Bean (4.1-4.3), Ice Cream Sandwich (4.0), a nawet Gingerbread (2.3). Czy tutaj można mówić o czymś takim, jak pozbawianie bezpieczeństwa jedynie ograniczonej grupy użytkowników?
W ostatnim czasie Google wyraźnie atakuje inne firmy jak Microsoft czy Apple za pomocą swojego projektu Zero i upubliczniania informacji o podatnościach znalezionych w ich oprogramowaniu. Jednocześnie na swoim podwórku ma zupełny bałagan, który zamiata pod dywan, zupełnie nie przejmując się bezpieczeństwem użytkowników Androida. Rzecz jasna starsza wersja nie może być wspierana w nieskończoność, ale w obecnej sytuacji polityka Google powoduje, że firma wychodzi na pełną hipokryzji i braku poszanowania dla swoich klientów.