จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง
Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้

  • นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ
  • Android 4.4 เปิดให้ผู้ผลิตฮาร์ดแวร์อัพเดตไบนารีของ WebView ที่กูเกิลส่งให้ ส่วน Android 5.0 แยก WebView มาอัพเดตผ่าน Google Play Services ช่วยให้กระบวนการอัพเดตง่ายสุดๆ เพราะผู้ผลิตฮาร์ดแวร์ไม่ต้องทำอะไรเลย
  • ก่อนหน้านี้กูเกิลนำแพตช์ของ WebView มาอัพเดตให้รุ่นเก่า (backport) ด้วย แต่เนื่องจาก WebKit/WebView มีขนาดใหญ่มาก มีการอัพเดตตลอดเวลา การนำแพตช์กลับมาแก้ให้ซอฟต์แวร์เวอร์ชันเก่าเกิน 2 ปีจึงเริ่มเป็นภาระหนักของทีมงาน เป็นเหตุให้กูเกิลตัดสินใจหยุดอัพเตด WebView บน Android 4.3 ลงไปในที่สุด
    คำแนะนำของกูเกิลเพื่อความปลอดภัยที่ดีบน Android
  • ควรเปิดเว็บใดๆ ด้วยเบราว์เซอร์รุ่นล่าสุดที่อัพเดตได้จาก Play Store เช่น Chrome หรือ Firefox แทนการใช้ Android Browser ที่ฝังมาพร้อมกับตัวระบบปฏิบัติการ
  • สำหรับนักพัฒนาแอพที่ต้องการเรียกใช้ WebView บน Android รุ่นเก่าๆ ควรควบคุมการใช้งานอย่างเข้มงวด เช่น บังคับเฉพาะเนื้อหาจากเว็บที่เชื่อถือได้และส่งข้อมู ลผ่าน HTTPS เท่านั้น (รายละเอียด)

ที่มา - +Adrian Ludwig via Talk Android
Android, Google, Jelly Bean, Browser, WebKit, Security




อ่านต่อ...