Именно такой вопрос начнут задавать в 2015 году пользователи гаджетов, работающих под управлением устаревающих версий ОС Андроид. Google и безопасность «немолодых» гаджетов. Если вы еще не в теме, то именно под таким трендом прошла вся минувшая неделя.
Сам по себе вопрос безопасности вообще и мобильных и настольных устройств в частности не нов. Это тема муссируется едва ли ежедневно – при том, что чуть реже происходят достаточно знаковые события. Совсем недавно ими стали взлом серверов Sony, активное противодействие США кибертерроризму, а также многочисленные истории и скандалы с упоминанием вредоносных кодов, антивирусов и иже с ними. Тем не менее, уходящая неделя стала особенной. Как оказалось, пользователи устройств под управлением ОС старше Андроид 4.4 KitKat более не будут получать от Google обновления безопасности. В частности, речь идет о дырах в функционале под названием WebView.
Прежде всего, стоит разобраться с тем, что из себя представляет, вернее, за что отвечает WebView. Этот стандартный функционал OS Android позволяет разработчикам реализовывать доступ в интернет непосредственно из приложений. С точки зрения обычного пользователя это означает, что приложения вашего гаджета – планшета или смартфона – могут просматривать содержимое веб-страниц легче и быстрее, нежели без WebView. Интересно, что данный функционал – не просто себе удобная фишка. В свое время, Google активно пропагандировал использование WebView разработчиками в своих приложениях. Итак, как же мы пришли к тому, что данный функционал получил статус потенциально опасного? Дело здесь не столько в том, что WebView является предпочтительным программным средством для доступа к интернет-контенту, а в том, что его быстро освоили злоумышленники в качестве предпочтительного средства для незаконного и неавторизованного доступа к вашему гаджету. А это, в свою очередь, стало возможным благодаря тому, что WebView позволяет получить доступ практически ко всем службам ОС Андроид, а через них – ко всей аппаратной части любого гаджета.
В итоге владельцы Андроид в лице WebView получили не только удобный программный интерфейс для доступа к онлайновому контенту, но и потенциально опасное средство получения незаконного доступа к устройству, требующее пристального внимания, защиты и регулярных обновлений.
Итак, мы подошли к сути проблемы. «Где обновление для WebView?» – резонно спросите вы у Google. Ответ на сегодняшний день не очень-то оптимистичен: «Это вне нашей ответственности». Впрочем, у Google есть все основания для подобной реакции, несмотря на то, что Андроид не может не входить в рамки ответственности компании из Маунтин-Вью. Но Google сейчас является не только лишь частью решения, но и всего лишь частью проблемы. Дело в том, что после релиза Android 5.0 Lollipop Google исключила WebView из «коробки» и сделала этот сервис доступным для загрузки из Play Market. Примерно так Моторола в свое время поступила со своими «коробочными» приложениями. Одной из главных причин в обоих случаях стала необходимость и возможность эффективного и своевременного обновления. Проблема с Google в нашем же случае состоит в том, что выпуская обновление для WebView, компания решает только часть вопроса. Далее Google необходимо оповестить OEM производителей об обновлении – ведь апдейты «по воздуху» мы получаем именно от них. После получения вендором исправленного кода, он должен сделать его совместимым со своей оболочкой, протестировать и уже только после этого предложить своим клиентам получить его на устройство в виде OTA-обновления. Чем более кастомизированным является код оболочки (а он может быть также и адаптирован под конкретного сотового оператора), тем более сложной и затратной будет работа над «заплаткой».
Так что даже если Google и предложит OEM разработчикам обновления для WebView, не факт, что последние обеспечать своим пользователям необходимые обновления. Ведь, как мы знаем, вендоры практически всегда прекращают поддержку своих устройств, возраст которых превышает два года.
Так все же, кто виновен в том, что немалое количество гаджетов, работающих на операционной системе Андроид, могут в самое ближайшее время оказаться уязвимыми для вредоносного кода? Вопрос не совсем корректен. Скорее всего, Google вынесла WebView в отдельное приложение для того, чтобы в будущем избежать подобной ситуации в отношении все еще актуальных устройств, работающих под Android 4.4 KitKat. Для Google это единственный возможный способ своевременно обновлять этот чувствительный к угрозам функционал. К сожалению, для устройств на базе Jelly Bean подобное решение невозможно, поэтому, если вендоры не готовы к адаптации и применению обновлений к устаревающим устройствам, Google возможно и не видит необходимости в том, чтобы поставлять им эти обновления. В результате вполне реальной может оказаться ситуация, при которой обновления будут предлагать сторонние разработчики. Однако ситуация, при которой независимые девелоперы из Андроид-сообщества будут решать подобные задачи, еще менее желательна.
Итак, ситуация патовая: Google не публикует «заплатки», поскольку OEM производители не разрабатывают на ее основе обновления для устаревающих устройств, а OEM производители не выражают готовности к сотрудничеству, не видя перспектив получить исправление кода от Google. Решения от сторонних разработчиков неприемлемы.
Все это приводит нас к мысли о том, чем является Андроид. Это операционная система с открытым кодом, за ключевые аспекты которой, например безопасность, никто не несет полной ответственности. Вполне актуальные устройства, поддержка которых прекращена OEM производителями, не просто рискуют, а действительно останутся без критических обновлений. Выход один: неофициальная кастомная прошивка. Пока что менее пессимистичный прогноз для пользователей Jelly Bean отсутствует.