Una patch per i problemi di WebView, il software alla base del browser di Android 4.3 e precedenti, esiste già: si chiama KitKat, ovvero Android 4.4. La decisione di Google di cambiare il proprio sistema operativo mobile e adottare Chromium è proprio legata al garantire maggiore sicurezza: tuttavia le modalità stesse con cui è costruito e distribuito Android frenano l’adozione del nuovo software. Ma non tutto è perduto.
Android KitKat
Adrian Ludwig, che lavora per Google e cura proprio la sicurezza di Android, spiega sulla sua pagina Google+ la situazione: molto lavoro è stato fatto in questo senso, come detto, con KitKat per migliorare la situazione di WebView e la distribuzione delle patch attraverso i partner OEM che impiegano il sistema operativo sui propri terminali. Con Lollipop (5.0) la situazione è ulteriormente migliorata, visto che ora Google può distribuire direttamente le patch attraverso Play.
Il problema rimane per le versioni precedenti, dove WebView era basato su WebKit (il codice che prima era alla base di Chrome, e lo è ancora di Safari di Apple): sono trascorsi due anni dal rilascio di Jelly Bean, anni nei quali WebKit si è evoluto moltissimo e dunque lavorare in retrospettiva per applicare le patch necessarie su migliaia di righe di codice diventa un compito molto difficile. Soprattutto se si ragiona in termini di un business, quale Android è per Google: manutenere un prodotto vecchio di due anni e che è stato "abbandonato" dagli OEM, che ormai lavorano su KitKat o meglio ancora Lollipop, è un compito improduttivo oltre che oneroso.
La soluzione prospettata da Ludwig è la seguente: non usare il browser di default su Android 4.3 e precedenti. Chrome e Firefox sono presenti su Play Store, e nel caso del browser del panda rosso l'app è compatibile con Android fin dalla versione 2.3: utilizzare questi due browser mette al sicuro dal problema di WebView, e quindi solleva l'utente da molte preoccupazioni. Quanto agli sviluppatori, l'invito è seguire le linee guida impostate da Google stessa per la sicurezza e limitare la fruizione dei contenuti provenienti dal Web unicamente a quelli forniti da fonti sicure (garantite dal protocollo HTTPS).