O Google vai encerrar oficialmente os updates de segurança para a ferramenta WebView do Android 4.3 (Jelly Bean) ou versões anteriores. A medida fará com que 939 milhões de usuários, ou cerca de dois terços dos usuários do sistema operacional móvel, fiquem desprotegidos contra possíveis ataques.
O WebView é um recurso que permite que os apps exibam páginas web sem precisarem abrir outros programas e muito utilizado por aplicativos e redes de anúncio. Segundo os especialistas, assim como o Internet Explorer é uma porta de entrada de hackers no Windows, a exploração de uma determinada falha do WebView pode ser um modo de invadir o Android.
Os pesquisadores do Rapid7, inclusive, apontam que atualmente existem diversas falhas que podem ser exploradas pelos cibercriminosos no WebView. Em testes, eles conseguiram identificar 11 “exploits” diferentes. E o que os tornam perigosos é que o WebView dialoga com outras partes do Android, podendo comprometê-lo por inteiro.
Apesar dos riscos, atacar o WebView não é fácil. Seria preciso inserir o código em uma página exibida por um app ou enganar um usuário com links falsos. De qualquer forma, basta o usuário ter a cautela sempre recomendada por especialistas, de não fazer downloads fora do Google Play e não acessar links que não conhece para evitar ser contaminado.
Joe Vennix, do Rapid7, e Rafay Baloch, pesquisador independente, descobriram o fim do suporte no final do ano passado, quando a equipe de segurança do Android respondeu a um alerta de bug no browser AOSP, que usa o WebView, explicando que não iria criar um patch se a versão afetada fosse anterior à 4.4.
Segundo a resposta do Google, eles poderiam liberar os patches que recebessem de terceiros, mas não iriam criar os seus próprios. Ou seja, os pesquisadores teriam que, além de alertar os erros, fornecer a solução para que a empresa repassasse para os seus consumidores.
“Por favor, reconsidere, Google”
O Google não comentou o caso, mas isso provavelmente tornou-se o padrão quando ela decidiu separar o WebView do novo Android 5.0, permitindo que usuários façam updates da ferramenta separadamente, via Google Play. O problema é que esta opção não está disponível para quem tem uma versão anterior do sistema, e há um número ainda muito pequeno de pessoas usando o Lollipop, cerca de 0.1% dos usuários.
No site Rapid7, responsável pela descoberta, há um pedido: “Por favor, reconsidere, Google”. Tod Beardsley escreveu: “como desenvolvedor de software, sei que dar suporte à versões antigas do software pode ser ruim. […]No entanto, um bilhão de pessoas não dependem do meu software para gerenciar e salvar detalhes pessoais de suas vidas”.
Postar um comentário