บริษัท Rapid7 ผู้พัฒนา Metasploit ได้เขียนบล็อกแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชัน 4.3 หรือต่ำกว่า ให้ระมัดระวังในการใช้งานแอปพลิเคชันที่มีการเรียกใช ้คอมโพเนนต์ WebView เนื่องจากมีช่องโหว่ด้านความมั่นคงปลอดภัยหลายจุดและ Google บอกจะไม่แก้ไขช่องโหว่เหล่านี้แล้ว
WebView เป็นคอมโพเนนต์ที่ช่วยให้แอปพลิเคชันสามารถแสดงผลหน้ าเว็บไซต์ได้ เนื่องจากก่อนหน้านี้ WebView มีรายงานปัญหาด้านความมั่นคงปลอดภัยมาโดยตลอด ใน Android เวอร์ชัน 4.4 ทาง Google เลยตัดสินใจปรับให้ WebView ใช้เอนจินตัวเดียวกับ Chrome for Android และใน Android เวอร์ชัน 5.0 ทาง Google ได้แยก WebView ออกจากตัวระบบปฏิบัติการ ไปเป็นส่วนหนึ่งของ Google Play API เพื่อให้สะดวกในการแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัย
แต่สำหรับ Android เวอร์ชัน 4.3 หรือต่ำกว่า ที่ยังคงใช้ WebView เวอร์ชันเก่าอยู่ ทาง Rapid7 ได้ส่งอีเมลสอบถามไปยัง Google แล้วได้รับคำตอบว่า Google จะไม่พัฒนาแพตช์ให้กับ WebView ใน Android เวอร์ชันต่ำกว่า 4.4 อีก แต่ถ้ามีคนส่งแพตช์เข้ามาก็จะลองพิจารณาให้
Google ให้เหตุผลที่จะไม่พัฒนาแพตช์ว่า ปัจจุบันไม่มีอุปกรณ์ Android รุ่นไหนวางจำหน่ายโดยมี Android Browser อยู่ในเฟิร์มแวร์อีกแล้ว อีกอย่างวิธีที่ดีที่สุดที่จะใช้งานอุปกรณ์ให้ปลอดภั ยคืออัปเดตให้เป็น Android เวอร์ชันล่าสุด
จากสถิติล่าสุดพบว่าผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชันต่ำกว่า 4.4 นั้นมีมากถึง 60% ซึ่งเป็นความเสี่ยงที่สูงมาก ทาง Rapid7 ขอร้องให้ Google ตัดสินใจเรื่องนี้ใหม่เพื่อไม่ให้ผู้ใช้จำนวนหลายล้า นคนได้รับความเดือดร้อน
ที่มา - Rapid7
Android, Google, Security




อ่านต่อ...