Um pesquisador de segurança descobriu um bug sério no componente WebView do Android 4.3 e versões anteriores. Ele pode abrir o sistema para hackers mal intencionados. O Google já fez a sua parte, mas isso não significa que estamos todos seguros.

O bug, descoberto por Tod Beardsley, da Rapid, está presente em um pedaço antigo do Android que permite que apps abram páginas web sem que seja preciso recorrer a outro app – exemplo simples: quando você clica em um link no Facebook e, em vez do Chrome ou outro navegador, a página abre dentro do app do Facebook.

O problema é que essa porção de software está incrustrada no próprio sistema, logo é preciso uma atualização para corrigir eventuais falhas. A partir do Android 4.4, o Google trocou o motor do WebView; saiu o Webkit, entrou o Blink, que não é afetado pelo bug recém-descoberto. Problema resolvido, certo? Sim, exceto se você for dono de um smartphone ou tablet que parou no Android 4.3 ou anterior – e não é pouca gente; de acordo com o próprio Google, 60% dos dispositivos em uso atualmente estão nessa situação.

O Google respondeu a Beardsley dizendo:

Se a versão afetada [do WebView] é anterior à 4.4, nós geralmente não desenvolvemos patches, mas recebemos de bom grado correções com relatórios para consideração. Além de alertar os OEMs, não podemos tomar outra ação a partir de qualquer relatório que afeta versões anteriores à 4.4 e que não estejam acompanhadas da correção.

É compreensível, mas de qualquer forma mais da metade dos dispositivos Android está vulnerável. Ainda que o Google se dispusesse a criar uma correção ele mesmo, ficaria dependente das fabricantes e operadoras para chegar a muitos desses dispositivos datados. A saída que a empresa encontrou para burlar esse entrave e levar aos usuários atualizações mais rápidas, o Google Play Services, só contempla o WebView a partir do Android 5.0.

Temeroso pelas implicações da sua descoberta, Beardsley pediu ao Google que reconsidere o posicionamento. Infelizmente, parece que isso está além do alcance da empresa. [Ars Technica via Engadget]

Imagem por Uncalno Tekno licenciada sob Creative Commons