Google no va a desarrollar más parches de seguridad para las versiones de Android inferiores a la 4.4 'KitKat'.
Esa fue la respuesta que recibieron, por parte del equipo de seguridad de Android, investigadores independientes, cuando enviaron una nueva vulnerabilidad encontrada en el componente WebView que afectaba a versiones anteriores a 'KitKat'.La seguridad de Android en cifras
- Según la propia Google, 'KitKat', el sistema aun soportado, representa el 39,1% de la base de usuarios de Android. El resto son versiones anteriores sin soporte directo, lo cual se traduce en millones de dispositivos vulnerables, 930 millones en cifras del investigador Tod Beardsley de Metasploit.
- Sigamos con Tod, interlocutor en este caso con el equipo de seguridad de Android y quien expuso la respuesta que le ofrecieron desde Google. Beardsley, uno de los desarrolladores más activos de Metasploit, comenta en el blog de Rapid7 como solo Metaploit, suite de explotación de vulnerabilidades, contiene hasta 11 exploits orientados a sacar partido a distintos fallos documentados en el componente WebView. Este componente, del que hemos hablado varias veces en Una-al-Día, permite incrustar contenido web en cualquier aplicación Android nativa sin necesidad de que el usuario tenga que abrir un enlace en el navegador web.
- WebView se basa en el motor WebKit para "dibujar" el contenido web. WebKit posee un espectacular historial de errores de seguridad que arrastra a cada aplicación o componente software que hereda su funcionalidad, a eso añádase los fallos propios del software que haga uso de WebKit (el caso de WebView). Google ya incluía WebKit hasta la versión 28 de Chrome, siendo reemplazado por "cuestiones técnicas" por el motor de renderizado Blink, fork de WebKit promovido por Google y Opera. A partir de 'KitKat' WebView se apoya en Chrome para generar el contenido web, motivo en parte por el cual las vulnerabilidades en WebView afectan a versiones anteriores a 'KitKat'.
- Vamos a quitarle algo de hierro a las doscientas toneladas de inseguridad que tenemos en ciernes matizando la repuesta. Google no se niega a publicar más parches para versiones antes de 'KitKat', simplemente no va a desarrollarlos salvo en el caso de "…otros componentes, como por ejemplo reproductores multimedia…". Esto quiere decir que salvo que el parche les llegue de un tercero no van a mover un dedo para echar tierra en el agujero. O eso o esperar a que sea el propio fabricante el que produzca y publique un parche para sus usuarios.
- Android representa un paradigma abierto respecto de otras soluciones cerradas como iOS. El código es abierto, compartido y usado por terceros como sistemas para el hardware que producen. Es un interesante juego de tensiones e intereses, Google ha dejado parte de la pelota en el terreno de los fabricantes, a los que quizás les pide más apoyo y compartir responsabilidad a la hora de dejar a los usuarios expuestos.
- Por otro lado queda el sentimiento de abandono y obsolescencia prematura que pueden sentir los usuarios a los que les toca la parte rancia de la tarta que representa más del 60%. Una porción que puede llegar a costarles una indigestión.
- Platform Versions http://developer.android.com/about/dashboards/index.html#Platform
- Google No Longer Provides Patches for WebView Jelly Bean and Prior https://community.rapid7.com/community/metasploit/blog/2015/01/11/google-no-longer-provides-patches-for-webview-jelly-bean-and-prior
