Google explica porque deixará 1 bilhão de dispositivos sem correção de segurança

por

A Google se posicionou sobre a falha de segurança na navegação web que afeta o Android 4.3 e anteriores, e que não terá correção. Estima-se que o número de dispositivos afetados chegue a 1 bilhão.

A vulnerabilidade afeta o WebView, componente que permite a visualização de páginas web dentro de aplicações. Visualizar páginas especialmente preparadas por um atacante pode permitir a execução de código malicioso no dispositivo, lembrando que frequentemente sites legítimos acabam servindo malware via anúncios nas suas páginas.

Segundo noticiado pelo site Engadget, o WebView é composto por 5 milhões de linhas de código, tornando “inviável” corrigi-lo com segurança. A alternativa recomendada é o usuário instalar o Chrome ou, no caso de dispositivos mais antigos, o Firefox. Mas o dispositivo somente estará seguro de fato se as aplicações em uso também forem reescritas para não usar mais o componente.

A resposta obviamente não repercutiu bem entre os especialistas em segurança, dada a enorme quantidade de usuários que ficarão vulneráveis, e pelo fato de que algumas das versões expostas são bastante recentes. O Android 4.3 tem pouco mais de dois anos, e faz uso do WebView. O Android 4.4 e superior tem um marketshare mínimo frente aos outros, e são os únicos seguros.

E, para lembrar, estamos falando da mesma empresa que optou pela divulgação de um zero-day do Windows dois dias antes da Microsoft liberar a correção, sob o argumento de que isto estava em linha com seus rigorosos critérios de segurança.

Nossa recomendação? O ecossistema altamente disperso do Android sempre o tornará difícil de ser mantido seguro. Organizações que privilegiem a segurança terão mais sucesso na proteção de seus dispositivos móveis adotando o sistema operacional iOS da Apple.

Categoria : Microsoft, Other News
Tags : , , ,