เกือบพันล้านผู้ใช้ Android หรือเกินครึ่งหนึ่งของผู้ใช้งานสมาร์ทโฟนระบบปฏิบัติการ Android ทั่วโลก กำลังตกอยู่ในความเสี่ยงที่อาจจะถูกโจมตีผ่านช่องโหว่ของ WebView เนื่องจาก Google ได้ตัดสินใจยกเลิกการอัพเดท Security Patch บน pre-KitKat (v4.4) อีกต่อไป
WebView เป็นส่วนประกอบหลักของการแสดงผลเว็บเพจบน Android โดยที่ผู้ใช้ไม่จำเป็นต้องเปลี่ยนไปใช้แอพอื่น Android KitKat และเวอร์ชันหลังจากนั้นจะมาพร้อมกับ WebView เวอร์ชันใหม่ที่เป็น Chromium-based ซึ่ง Google จะมาเน้นโฟกัสการอัพเดท Security Patch ที่ตัวนี้แทน
การตัดสินใจยกเลิกการอัพเดทแพทช์บนเวอร์ชัน pre-4.4 WebView ของ Google นั้น ถูกประกาศโดยนักวิจัยของ Rapid7 ผู้ให้บริการซอฟต์แวร์ทางด้านความปลอดภัยชื่อดัง ที่ได้แจ้งเตือนช่องโหว่ของเวอร์ชันดังกล่าวไปยัง Google แต่ Google กลับตอบมาว่า พวกเขาได้หยุดพัฒนาแพทช์สำหรับเวอร์ชันนั้นไปแล้ว แต่ยินดีรับแพทช์ พร้อมกับรายงานคำแนะ เพื่อนำไปพิจารณาในการแชร์ต่อให้กับคนอื่นๆ
“เหตุผลที่ Google เปลี่ยนนโยบาย คือ ต่อไปนี้ พวกเขาจะไม่การันตีอุปกรณ์ของ 3rd Party ที่ใช้งาน Android Browser อีกต่อไปแล้ว และหนทางที่ดีที่สุดในการทำให้อุปกรณ์ Android ปลอดภัย คือ อัพเดทเป็นเวอร์ชันใหม่ล่าสุดแทน หรือพูดอีกอย่างหนึ่ง คือ อุปกรณ์ที่ใช้ JellyBean นั้นเก่าเกินที่จะซัพพอร์ทแล้ว ถึงแม้ว่ามันจะเวอร์ชันก่อนหน้าเวอร์ชันล่าสุดเพียง 2 เวอร์ชันก็ตาม” — Tod Beardsley หัวหน้าฝ่ายเทคนิค Metasploit Framework ของ Rapid7
มันอาจจะเป็นการตัดสินใจที่สมเหตุสมผล แต่ต้องพิจารณาด้วยว่า 60% หรือมากว่า 930 ล้านผู้ใช้ Android จะยังคงใช้ระบบปฏิบัติการเวอร์ชันต่ำกว่า KitKat และส่วนใหญ่ไม่สามารถอัพเกรดเป็นเวอร์ชันใหม่ล่าสุดได้
“จะมีการค้นพบบั๊คและช่องโหว่ใหม่ๆบน Android รุ่นเก่าๆเพิ่มขึ้นเรื่อยๆ เนื่องจากปริมาณการใช้งานที่เยอะและความปลอดภัยต่ำ Android รุ่นเก่ามีโอกาสสูงที่กลายเป็นเครื่องมือเอาไว้ใช้ในการโจมตีของแฮ็คเกอร์ ถ้า Google ไม่คิดจะเปลี่ยนความคิด” — Tod ให้ความเห็นเพิ่มเติม
ข่าวดีเพียงอย่างเดียว คือ Google ยังคงออก Backport Patch ให้สำหรับ pre-KitKat ส่วนอื่นๆนอกจาก WebView