Webview è un componente di Android che permette agli sviluppatori di visualizzare pagine web all’interno delle proprie applicazioni senza implementare un browser completo. Fino alla versione 4.3 di Android, Webview era basato su Webkit, mentre da Android 4.4 KitKat Google è passata a Chromium. Per questo Google ha smesso di integrare patch di sicurezza sui progetti basati su Webkit, essendo vecchi di oltre due anni.
Le vittime principali di questa situazione sono gli utilizzatori di Android, nelle versioni 4.3 Jelly Bean e precedenti, quelle cioè in cui Webview è ancora basato su Webkit. Da più parti sono stati segnalati importanti problemi legati alla sicurezza ma Google ribadisce che non è attuabile continuare ad aggiornare codice ormai obsoleto.
In realtà Google afferma di accettare qualsiasi patch che venga caricata sull’AOSP in merito a Webview ma che non ci lavorerà in prima persona. Non essendo previsti ulteriori aggiornamenti delle vecchie versioni di Android, queste patch restano nel limbo, aspettando eventuali aggiornamenti dai produttori, che, ovviamente, non arriveranno mai. Google ha risolto tutti i problemi di sicurezza legati a Webview a partire da Android 4.4 KitKat, migliorando ulteriormente la situazione con Android 5.0 Lollipop, ora sta ai produttori aggiornare il software sui loro dispositivi.
Come possono difendersi gli utenti Jelly Bean? Il primo consiglio è di utilizzare browser che dispongono di un proprio motore di rendering, quali Firefox e Chrome. In seconda battuta disabilitare il browser integrato in Android ed evitare le app che utilizzano Webview, anche se questa operazione non sarà facilmente attuabile dagli utenti meno esperti.