نشرت شركة رابيد 7 Rapid7 المتخصصة بتطوير أدوات الأمن الرقمي، والمطوّرة لأداة ميتاسبلويت Metasploit الشهيرة، تقريرًا اتّهمت فيه شركة جوجل بتعريض الملايين من مُستخدمي أندرويد للخطر، وذلك بسبب توقّفها عن إرسال التحديثات الأمنية لأداة ويب فيو WebView للأجهزة العاملة بإصدار أندرويد 4.3 وما دون.
أداة WebView هي العنصر البرمجي الذي يُتيح لمطوُري التطبيقات إظهار صفحات الويب ضمن تطبيقاتهم دون الحاجة لفتحها في مُتصفّح خارجي. حيث تُبنى بعض التطبيقات بشكّل كامل اعتمادًا على WebView وبعضها يستخدم هذا العُنصر ضمن أجزاء مُعيّنة فقط في التطبيق.
بحسب التقرير، فإن جوجل توقّفت عن إصلاح الثغرات الأمنية في WebView وذلك لإصدارات أندرويد 4.3 (جيلي بين) وما قبل، بعد أن استغنت نهائيًا عن WebView منذ الإصدار 4.4 (كيت كات) واستبدلت به نسخة جديدة من WebView مبنية على “كروم”.
ويذكر التقرير بأن جوجل توقفت عن تحديث WebView أمنيًا بهدوء ودون إشعار مُسبق، بعد اعتبارها أن إصدار أندرويد 4.3 قد أصبح قديمًا منذ أصدرت الشركة نسخة أندرويد 5.0 الأخيرة. لكن تُقدّر شركة Rapid 7 عدد هواتف أندرويد المُعرّضة لإصابات مُحتملة بسبب الثغرة بحوالي 930 مليون هاتف.
وبحسب Rapid7 فإن WebView يحتوي على العديد من الثغرات الأمنية التي يُمكن أن يستغلّها المُخترقون للعبث بأجهزة المُستخدمين وسرقة معلوماتهم وبياناتهم، منها ما أصبحت ثغرات معروفة بالفعل، حتى أن الشركة قامت بتوفيرها ضمن أداة Metasploit الأمنية التي تطوّرها، والتي يستخدمها كل من الخبراء الأمنيين والقراصنة على حدٍ سواء.
وذكرت Rapid7 أنها تواصلت مع جوجل حول هذه المسألة، وكان جواب الشركة بأن أندرويد مفتوح المصدر، وبأنها تُرحّب بالإصلاحات الخاصة بالثغرات الأمنية التي يُرسلها المطوّرون والخبراء كي تقوم بإضافتها إلى أندرويد وإعلام شركائها من أجل تحديث هواتفهم لسد هذه الثغرات الأمنية، إلّا أن جوجل نفسها توقفت تمامًا عن دعم النسخ السابقة لأندرويد 4.4. وبحسب Rapid7 فإن سياسة الاعتماد على مجتمع المصدر المفتوح لحل الثغرات وإرسالها لجوجل قد لا تكون فعّالة بما فيه الكفاية.
ولتجنّب أية أخطار مُحتملة ينصح الخبراء الأمنيون مستخدمي الهواتف العاملة بإصدار أندرويد 4.3 وما دون بعدم تحميل التطبيقات إلّا من المصادر الموثوقة وتجنّب النقر على الروابط المشبوهة.
يُذكر أن جوجل لم تُصدر تعليقًا رسميًا حول هذه القضية بعد.