C'è una falla pericolosa che colpisce tutte le versioni di Android fino alla 4.3 Jelly Bean, e Google non ha intenzione di risolverla.

Si può sintetizzare così la questione nata dalla scoperta di un bug all'interno di WebView, componente di WebKit, il motore di rendering utilizzato dal browser di sistema fino, appunto, ad Android 4.3.

Perché il bug colpisca è sufficiente visitare una pagina web realizzata per sfruttarlo; la sua pericolosità non è quindi da sottovalutare.

Articoli raccomandati:

iPadOS 17, Apple abbandona gli iPad più vecchi

La falla in Android che fa cadere lo smartphone in coma

La falla in iOS che rende inutilizzabili iPhone e iPad

4,3 milioni di malware per dispositivi mobili

Nonostante ciò, Google ha deciso che non rilascerà la patch necessaria, e ha spiegato le ragioni per bocca di Adrian Ludwig, il cui compito è proprio occuparsi della sicurezza di Android.

In un post su Google Plus, Ludwig ha raccontato che il problema sta nel mettere mano alle troppe righe di codice delle vecchie versioni di WebKit, e sottolineando come Android 4.4 KitKat e Android 5.0 Lollipop siano immuni dal problema.

«WebKit da solo è composto da oltre 5 milioni di linee e di codice e centinaia di sviluppatori aggiungono migliaia di modifiche ogni mese, quindi in qualche caso applicare correzioni a un ramo di WebKit vecchio di oltre due anni comporta il cambiamento di porzioni significative del codice e non è più pratico farlo in modo sicuro» ha scritto Ludwig.

Sondaggio

Pericolosi malware per computer come Uroburos, spyware su smartphone Android e un numero costantemente in crescita di casi di malware con attacchi a dispositivi mobili. Quale di queste previsioni ti sembra più attendibile?

I "Quantified Self Data" sono protetti in modo inadeguato. - 8.8% Multi-target malware: door-openers nei computer aziendali. - 8.4% Più dispositivi mobili con malware pre-installato. - 27.7% Nuovo record per i Trojan bancari. - 17.8% Adware sempre sulla breccia. - 10.2% Spyware in aumento. - 27.0%   Voti totali: 488

Leggi i commenti

L'unica soluzione è quindi abbandonare le vecchie versioni e aggiornare Android; il guaio è che questa operazione non è sempre possibile.

Vuoi perché gli smartphone e i tablet più vecchi non sarebbero in grado di far girare il nuovo sistema, vuoi perché quand'anche fossero in grado i produttori non rilasciano gli aggiornamenti (così da spingere le vendite di nuovi modelli), il risultato è che nel mondo, attualmente, ci sono oltre 939 milioni di dispositivi vulnerabili, e che non saranno protetti.

Le statistiche rivelano infatti la versione Android 4.4 KitKat, al sicuro dal bug, è usata dal 39,1% degli utenti di Android; Lollipop (Android 5.0) invece al momento è usata soltanto dallo 0,1%. Ciò significa che il 60% degli utenti non riceverà la patch.

Per chi non può aggiornare Android e non può o non vuole cambiare smartphone o tablet l'ultima possibilità risiede nel non utilizzare il browser di Android ma rivolgersi alle alternative, come Chrome, Firefox o Opera.

Questa soluzione è tuttavia parziale perché, se da un lato mette al riparo dal problema durante la navigazione attraverso il browser, dall'altro non può far nulla nei casi in cui la navigazione avviene attraverso un'altra app che integra il componente fallato; in questi casi l'intervento è a carico degli sviluppatori delle app, che dovrebbero - a detta di Ludwig - modificare i propri software affinché usino un altro motore di rendering nelle versioni per Android 4.3 e precedenti.