Чи варто користувачам Jelly Bean чекати оновлень безпеки від Google?
Сам по собі питання безпеки взагалі і мобільних і настільних пристроїв зокрема не новий. Це тема мусується чи щодня - при тому, що трохи рідше відбуваються досить знакові події. Зовсім недавно ними стали злом серверів Sony, активна протидія США кібертероризму, а також численні історії та скандали зі згадуванням шкідливих кодів, антивірусів і іже з ними. Проте, тиждень, що минає стала особливою. Як виявилося, користувачі пристроїв під управлінням ОС старше Андроїд 4.4 KitKat більш не отримуватимуть від Google оновлення безпеки. Зокрема, мова йде про дірки в функціоналі під назвою WebView.
В результаті власники Андроїд в особі WebView отримали не тільки зручний програмний інтерфейс для доступу до онлайнового контенту, але і потенційно небезпечний засіб отримання незаконного доступу до пристрою, що вимагає пильної уваги, захисту і регулярних оновлень.
Отже, ми підійшли до суті проблеми. «Де оновлення для WebView?» - резонно запитаєте ви у Google. Відповідь на сьогоднішній день не дуже-то оптимістичний: «Це поза нашою відповідальності». Втім, у Google є всі підстави для подібної реакції, незважаючи на те, що Андроїд не може не входити в рамки відповідальності компанії з Маунтін-В'ю. Але Google зараз є не тільки частиною рішення, але і всього лише частиною проблеми. Справа в тому, що після релізу Android 5.0 Lollipop Google виключила WebView з «коробки» і зробила цей сервіс доступним для завантаження з Play Market. Приблизно так Моторола свого часу вчинила зі своїми «коробковими» додатками. Однією з головних причин в обох випадках стала необхідність і можливість ефективного і своєчасного оновлення. Проблема з Google в нашому ж випадку полягає в тому, що випускаючи оновлення для WebView, компанія вирішує тільки частина питання. Далі Google необхідно сповістити OEM виробників про оновлення - адже апдейти «по повітрю» ми отримуємо саме від них. Після отримання вендором виправленого коду, він повинен зробити його сумісним зі своєю оболонкою, протестувати і вже тільки після цього запропонувати своїм клієнтам отримати його на свій пристрій як OTA-оновлення. Чим більше кастомізованих є код оболонки (а він може бути також і адаптований під конкретного стільникового оператора), тим складнішою і витратною буде робота над «латкою».
Так що навіть якщо Google і запропонує OEM розробникам поновлення для WebView, не факт, що останні обеспечает своїм користувачам необхідні оновлення. Адже, як ми знаємо, вендори практично завжди припиняють підтримку своїх пристроїв, вік яких перевищує два роки.
Так все ж, хто винен в тому, що чимала кількість гаджетів, які працюють на операційній системі Андроїд, можуть в самий найближчий час опинитися уразливими для шкідливого коду? Питання не зовсім коректний. Швидше за все, Google винесла WebView в окремий додаток для того, щоб в майбутньому уникнути подібної ситуації в відношенні все ще актуальних пристроїв, що працюють під Android 4.4 KitKat. Для Google це єдиний можливий спосіб своєчасно оновлювати цей чутливий до погроз функціонал. На жаль, для пристроїв на базі Jelly Bean подібне рішення неможливо, тому, якщо вендори не готові до адаптації і застосування оновлень до устаревающим пристроїв, Google можливо і не бачить необхідності в тому, щоб поставляти їм ці оновлення. В результаті цілком реальною може виявитися ситуація, при якій оновлення будуть пропонувати сторонні розробники. Однак ситуація, при якій незалежні девелопери з Андроїд-спільноти будуть вирішувати подібні завдання, ще менш бажана.
Отже, ситуація патова: Google не публікує «заплатки», оскільки OEM виробники не розробляють на її основі оновлення для застарілих пристроїв, а OEM виробники не висловлюють готовність до співпраці, не бачачи перспектив отримати виправлення коду від Google. Рішення від сторонніх розробників неприйнятні.
Все це приводить нас до думки про те, чим є Андроїд. Це операційна система з відкритим кодом, за ключові аспекти якої, наприклад безпеку, ніхто не несе повної відповідальності. Цілком актуальні пристрої, підтримка яких припинена OEM виробниками, не просто ризикують, а дійсно залишаться без критичних оновлень. Вихід один: неофіційна кастомними прошивка. Поки що менш песимістичний прогноз для користувачів Jelly Bean відсутня.