Google weigert kwetsbaarheid voor 940 miljoen Androids op te lossen

Abonneer je gratis op Techzine!

Zoekgigant Google heeft aangegeven dat een bug in Android 4.3 Jelly Bean en eerder niet zal worden opgelost. De kwetsbaarheid is naar schatting aanwezig op bijna 1 miljard toestellen die nog in gebruik zijn.

White Hat-hacker Rafay Baloch heeft de kwetsbaarheid in Android gevonden en het betreft het WebView-element van het besturingssysteem. Middels dit element kan een app een website tonen zonder dat de gebruiker naar een externe browser gestuurd moet worden. Dit element communiceert onderhuids met veel andere onderdelen van Android en als kwaadwillenden hier misbruik van kunnen maken is er van alles mogelijk. De ernst van deze specifieke bug is niet geheel duidelijk.

In Android 4.4 KitKat heeft Google de reguliere Internet-app vervangen door Google Chrome en is de bug niet langer aanwezig, in alle voorgaande versies van Android dus wel. Alle versies ouder dan KitKat zijn onderhevig aan de kwetsbaarheid en volgens Google’s laatste cijfers zijn deze toestellen goed voor bijna 55 procent van het totaal. Combineren we dat percentage met cijfers van analistenbureau Gartner, dan komt dat neer op zo’n 940 miljoen Android-apparaten die de kwetsbaarheid bevatten.

Google lijkt echter niet van plan om de bug op te lossen. "Als de getroffen versie ouder dan Android 4.4 is, ontwikkelen we zelf doorgaans geen patch meer. We verwelkomen patches van ontwikkelaars. Anders dan het op de hoogte stellen van fabrikanten en doorsturen van eventuele patches ondernemen we geen actie," zo kreeg Baloch te horen toen hij Google op de hoogte stelde van de bug.

Dat Google de kwetsbaarheid niet op wil lossen heeft een saillant randje: de zoekgigant zette Microsoft juist in een kwaad daglicht omdat het bedrijf een kwetsbaarheid -in Google’s optiek- twee dagen te laat oploste.