Forbesista mainitaan se lähes miljardi Android-älypuhelimen käyttäjää Ne, joiden järjestelmässä ei ole Lollipopin uusinta versiota, ovat vaarassa joutua haitallisiin hyökkäyksiin, koska Google ei jatka WebView-työkalun päivitysten julkaisemista Android-versioille 4.3 ja sitä vanhemmille.
Rapid7-yritys huomasi, että Google aloitti lopettamisprosessin viime vuoden WebView-tuki muille laitteille kuin Android 5.0 Lollipop. WebView on yleisesti käytetty Androidissa, joka on WebKit-pohjainen renderointimoottori, joka näyttää verkkosivustoja avaamatta toista sovellusta. Sen lisäksi, että se on yksi vektoreista, joita useimmiten käytetään koodin etäsuorittamiseen Android-haavoittuvuuksien suhteen, mikä tarkoittaa, että hyökkääjät voivat käyttää sitä reitillä Microsoft-alustoille, mikä tarkoittaa, että päivitysten puuttumisesta tulevista ongelmista tulee todellinen ongelma Android-käyttäjät, joilla ei ole Lollipopia.
0.1% käyttäjistä, joilla on Android 5.0 Lollipop
Joka tapauksessa Google julkaisi tulevaisuuden WebView-tietoturvapäivitykset, jos korjaustiedosto tulee kehittäjältä kolmas osapuoli, jota tämä yritys kutsui Rapid7: ksi, kutsuu sitä melko oudoksi siirtymäksi tämän yrityksen yritykselle.
Google pääsi eroon WebView'sta poistamalla sen käyttöjärjestelmästä, kun se julkaisi Android Lollipopin viime kuukausina. Jos lisäät siihen, että sinulla on oltava Lollipop automaattisia latauksia varten, ja pirstoutuminen Androidissa, mikä vain uusimmissa luvuissa 0.1 prosentilla käyttäjistä on Lollipop, tämä ongelma saattaa tuntua suuremmalta kuin se on.
Ongelma käyttäjille, joilla on Android 4.3 tai vanhempi
Android 4.3: n tai sitä vanhemman version käyttäjät voivat rauhoittua hyökkääjien vuoksi he saattavat kohdata tiettyjä rajoituksia yrittäessään hiipiä WebView'n läpi. Itse Forbesista he selventävät, että hyökkäyksen onnistumiseksi heidän on käytettävä koodia, jonka valittu sovellus näyttää verkkosivulla.
Yksi tapa, jolla käyttäjän on vältettävä tätä ei ole asentaa tuntemattomia sovelluksia ja suorittaa tämä toiminto vain Play Kaupasta. Jotain siitä, että tietyt sovellustietovarastot kärsivät seurauksista, ja monet käyttäjät ihmettelevät, onko tämä todella paras tapa asentaa parhaat Android-sovellukset.
Toinen tapa on se Google investoi vaivaa, aikaa ja resursseja niin että miljoonat käyttäjät eivät olleet vaarassa, ja enemmänkin, jos Google itse väittää, että käyttäjät ovat aina etusijalla.
