Компания Google прекращает выпуск патчей для критических уязвимостей в Android 4.3 и более старых версиях. Около миллиарда пользователей останутся беззащитными.
Об этом печальном событии сообщили хакеры из Rapid7, постоянно выпускающие новые эксплойты для WebView — ключевого компонента, с помощью которого осуществляется рендеринг веб-страниц в Android.
Старая версия WebView исключительно глючная, для неё вышло уже 11 эксплойтов, и конца этому не видно, пишет Тод Бёрдсли (Tod Beardsley) из группы разработчиков Metasploit. В обновлении операционной системы Android KitKat (4.4) состоялся апгрейд на более совершенную версию WebView для Chrome, здесь уязвимости найти сложнее.
Тем не менее, до недавнего времени Google исправно выпускала патчи к старой версии WebView после появления каждого нового эксплойта. Оно и понятно, ведь “Jelly Bean” был самой популярной версией Android, да и выход Android 4.3 состоялся чуть более года назад. Не такой уж большой срок, если сравнить, например, со сроком поддержки операционной системы Windows XP, где Microsoft закрывала критические уязвимости в течение 13 лет.
Однако, ребята из Google решили, что с них хватит геморроя с Android 4.3. После нахождения очередной уязвимости и сообщения о ней в отдел безопасности Android в компании Google был получен ответ, что для WebView версий более ранних, чем 4.4, сама компания Google патчи обычно не выпускает, но приветствует стороннюю разработку таких патчей. «Кроме уведомления OEM-сборщиков мы не сможем предпринять никаких действий по этому поводу», — сказано в письме.
Таким образом, Google официально отказалась от поддержки Android 4.3. По крайней мере, критические патчи для WebView она выпускать более не намерена.
Это оставляет уязвимыми 60,9% пользователей, то есть более 930 млн человек, если учитывать статистику по рынку Android от Gartner, WSJ и Android Developer Dashboard.
Специалисты Rapid7 обращаются к Google с призывом передумать и изменить своё решение.
