5381 Letture

Android: niente update per WebView pre-KitKat

C'è una notizia che sta destando non poco scalpore. Google avrebbe deciso di interrompere gli aggiornamenti di WebView su tutte le versioni di Android antecedenti alla release "KitKat". WebView è un componente utilizzatissimo, una classe che può essere adoperata dagli sviluppatori per richiedere il rendering di qualsiasi pagina web senza utilizzare un motore proprietario od una soluzione di terze parti.

I tecnici di Google avrebbero deciso di interromperne l'aggiornamento, almeno nel caso delle versioni di Android più datate. D'ora in avanti, infatti, un po´ come accade nel caso dei Google Services, WebView sarà automaticamente aggiornato ricorrendo a Google Play escludendo tutti coloro che, ad esempio, sono possessori di un dispositivo mobile basato su Android 4.3 "Jelly Bean" o precedenti (vedere anche Bersagliato il browser su Android, a rischio il 70% dei dispositivi).


Un problema da non sottovalutare: vulnerabili il 60% dei dispositivi Android

La decisione di Google è stata da più parti criticata perché, di fatto, da oggi vengono "abbandonati al loro destino" oltre il 60% dei dispositivi a cuore Android. Come si può verificare in questa pagina, infatti, Android 4.4 KitKat non è utilizzato che da 39,1% degli utenti. Lollipop non figura nemmeno ancora "in classifica".

Nel caso in cui dovessero essere scoperte e sfruttate, da parte di malintenzionati, nuove vulnerabilità nel componente WebView, queste resterebbero presenti nei dispositivi mobili Android più datati.

Va detto, comunque, che i produttori degli hardware sono spesso restii ad aggiornare il sistema operativo. Spesso gli aggiornamenti sviluppati dai tecnici di Google restano inutilizzati e non vengono mai distribuiti agli utenti, soprattutto nel caso dei device a più basso costo.
Da qui, evidentemente, la decisione di Google di spostare l'aggiornamento di WebView "sul cloud" e, quindi, su Play abbadonando il supporto dei device più vecchi.


Attenzione ai dispositivi Android che si acquistano e... aggiornare, aggiornare, aggiornare!

La decisione di Google porta ad un'inevitabile riflessione: i dispositivi Android che sono ancora basati su versioni del sistema operativo antecedenti KitKat devono quindi essere evitati come la peste. Attenzione quindi a che cosa si compra!

Se si acquista un nuovo smartphone o tablet Android, è fondamentale, quindi, verificare la versione del sistema operativo preinstallata e, nel caso in cui non fosse KitKat o Lollipop, ci si dovrà accertare di essere in grado di poterla aggiornare (o tramite i file messi a disposizione dal produttore o mediante l'installazione di una "custom ROM").

Per gli altri dispositivi Android di cui si fosse già in possesso, si potrà valutare l'installazione di una "custom ROM" KitKat o Lollipop: Installare ROM Android e aggiornare all'ultima versione.

Google lascerà comunque agli sviluppatori la possibilità di portare le correzioni e le migliorie applicate a WebView sulle versioni di Android precedenti KitKat.

  1. Avatar
    Sampei Nihira
    30/01/2015 18:39:32
    Citazione: Giuste osservazioni. Cerco di mettermi al lavoro prima possibile. Intanto pubblica e pubblicate pure le vostre riflessioni e i vostri test.
    Io non uso FB e quindi sono il meno indicato per fare test con questa app.......anche perchè non sò proprio usarla !!! Inoltre c'è da rilevare un fatto. Strano che non esiste (ma se esiste sarebbe interessante scovarla) una app che ci notifica quali delle nostre app installate sia soggetta a tale potenziale bug. p.s. Anche io sarei interessato a leggere eventuali riflessioni di altri colleghi di forum. :wink:
  2. Avatar
    Michele Nasi
    30/01/2015 18:30:17
    Giuste osservazioni. Cerco di mettermi al lavoro prima possibile. Intanto pubblica e pubblicate pure le vostre riflessioni e i vostri test.
  3. Avatar
    Sampei Nihira
    30/01/2015 18:21:59
    Grazie Michele. :approvato: Facciamo un semplice ragionamento. Oltre a non usare il browser preinstallato (io addirittura l'ho disinstallato) occorrerebbe fare attenzione a quelle app che accedono al web direttamente dall'applicazione stessa. Alcune app potremmo addirittura disinstallarle e sostituirle con altre che non ci espongono a questa potenziale vulnerabilità. Alcune app potremmo limitarle nelle loro connessioni al web. Benchè io non uso al momento tale app potremmo studiare per questo compito l'app XPrivacy (o altre app simili che non richiedono il modulo Xposed). Per finire dovremmo reindirizzare ciò che viene visualizzato nell'app stessa all'apertura del browser non esposto. Mi pare che in questo modo avremmo risolto il problema. Ditemi se secondo voi è giusto o sbagliato. Sono sempre aperto naturalmente a critiche propositive. :approvato: :wink: Mi pare inoltre che FB sia una di queste app che potrebbe essere presa ad esempio (anche perchè non credo che per alcuni sia sostituibile o disinstallabile) per eventuali test. Magari citare un altra app diffusa che potrebbe essere sostituita e/o limitata in questa funzionalità.
  4. Avatar
    Michele Nasi
    30/01/2015 14:18:53
    Volentieri, cerchiamo di imbastire qualcosa... Grazie per la proposta :approvato:
  5. Avatar
    Sampei Nihira
    30/01/2015 13:06:09
    Anche a me farebbe piacere approfondire questo argomento. Quindi aprire un dibattito (anche altrove) mi farebbe molto piacere. Benchè questo non sia il mio campo io credo che si possa ovviare a questo inconveniente. Suggerire rimedi per il browser preinstallato Suggeire rimedi per le app installate che potrebbero subire tale potenziale vulnerabilità @ Michele Che ne pensi ?
  6. Avatar
    ste.
    13/01/2015 14:31:42
    Ho acquistato un telefono con android 4.3 nemmeno un anno fa e sono molto seccato per questa cosa. Non sarebbe possibile approfondire un po' l'argomento, visto che dovrebbe interessare molte persone? Magari cercare qualche soluzione che non preveda necessariamente l'installazione di "custom rom"? (Operazione al di là delle capacità tecniche di molti). Che sia possibile far valere la garanzia? In fondo si tratta di un telefono "ufficialmente" insicuro. Grazie.
Android: niente update per WebView pre-KitKat - IlSoftware.it