– Håpløst å patche to år gammel WebKit

Google forklarer hvorfor eldre Android-nettleser ikke oppdateres mer.

Brukere av enheter med Jelly Bean eller de eldre utgavene av Android bør ta i bruk en annen nettleser enn standardnettleseren.
Brukere av enheter med Jelly Bean eller de eldre utgavene av Android bør ta i bruk en annen nettleser enn standardnettleseren. Bilde: Louis Gray/Google
Harald BrombachHarald BrombachNyhetsleder
26. jan. 2015 - 11:01

I midten av januar ble det kjent at Google ikke lenger planlegger å oppdatere den WebKit-baserte WebView-komponenten som er inkludert i Android 4.3 og eldre. I stedet vil den enkelte leverandør av Android-enheter sørge for dette, eventuelt med hjelp fra Android Open Source Project (AOSP). I hvilken grad det faktisk vil skje, er ukjent. Men Google avgjørelse har uansett møtt kritikk.

Hvilken praktisk betydning den har, kan diskuteres. Det er trolig få enheter med Android 4.3 eller eldre som mottar oppdateringer via leverandørene uansett.

I slutten av forrige uke kom Adrian Ludwig, sikkerhetssjef for Android hos Google, med et innlegg hvor han forklarer hvorfor denne avgjørelsen ble tatt og hva brukere og app-utviklere kan gjøre for å redusere risikoen dette forårsaker.

WebKit

– Inntil nylig har vi også tilbudt «backports» for den utgaven av WebKit som har blitt brukt av WebView i Android 4.3 og eldre. Men WebKit har alene mer enn 5 millioner kodelinjer, og hundrevis av utviklere gjør tusenvis av endringer i koden hver måned. Dette gjør at det i noen tilfeller, når man legger sikkerhetsfikser til en mer en to år gammel forgrening av WebKit, kreves endringer i betydelige deler av koden, og dette er ikke lenger praktisk mulig å gjøre på en trygg måte, skriver Ludwig.

Han forteller videre at Google til vanlig patcher til den nyeste versjonen av Android i AOSP. I tillegg tilbys Android-partnere patcher til minimum de to siste, store versjonen av operativsystemet, opplyser Ludwig.

Råd til brukerne

Ifølge Googles egne tall benyttes Android 4.3 og eldre av mer enn 60 prosent av Android-brukerne. Dette skyldes primært at leverandørene ikke har tilbudt nyere utgaver av operativsystemet til disse enhetene.

WebView-komponenten brukes både av standardnettleseren i Android 4.3 og endre, Android Browser, og av mange applikasjoner. Ludwig anbefaler de berørte brukerne å benytte en nettleser som fortsatt blir oppdatert. Alle med Android 4.0 kan bruke Google Chrome eller Opera, og alle med Android 2.3 eller nyere kan bruke Firefox. Alle er tilgjengelige i Google Play. Opera Mini og Opera Mobile Classic er tilgjengelige for enda eldre Android-utgaver.

Problemet er at mange ikke-tekniske brukere ikke har noen formening om hvilken nettleser de bruker i dag. De kjenner kanskje heller ikke til at det finnes alternative nettlesere. Først med Android 5 blir WebView-komponenten oppdatert fra Google Play, helt uavhengig av enhetsleverandørenes vilje til å oppdatere operativsystemet.

Og til app-utviklere

Selv om brukerne tar i bruk en moderne nettleser, er det andre applikasjoner som fortsatt benytter den gamle WebView-komponenten. Ludwig anbefaler applikasjonsutviklere om å oppdatere appene slik at begrenses til å åpne tiltrodd webinnhold, for eksempel innhold som lastes fra en lokal kilde eller via HTTPS. Enda bedre er det dersom utviklerne utstyrer appene for Android 4.3 eller eldre med en renderingmotor som utviklerne selv kan oppdatere.

Det beste hadde likevel vært om leverandørene hadde sørget for å oppdatere enhetene også i en lengre periode etter at de har blitt trukket fra markedet. Men etter det digi.no kjenner til, er det ingen leverandører av Android-enheter som har forpliktet seg til gjøre noe slikt.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.