De wijzigingen die nodig zouden zijn voor een serie WebView-gaten van meer dan twee jaar oud, zouden te veel veranderingen veroorzaken in grote delen van de code, die weer nieuwe bugs opleveren, zo meldt een Google-ontwikkelaar. Het gat is ook technisch geen kwetsbaarheid in het Android Open Source Project (AOSP), maar eentje in het door Android gebruikte WebView.

Zelf browser binnenhalen

Google heeft in zijn strijd om browserbeveiliging te verbeteren WebView losgelaten en de Android-browser is sinds versie 4.4 gestoeld op Chromium. Daarmee wordt de oude WebView niet meer ondersteund.

Maar dat betekent wel dat miljoenen gebruikers van Android 4.0-4.3 onbeschermd zijn voor de kwetsbaarheid (momenteel zo'n 40 procent van de gebruikers). Individuele browsers als Firefox en Chrome zijn wel gepatcht en Google raadt gebruikers van Android 4.3 en ouder aan om een gepatchte browser te gebruiken.

Het is aan de browserproducenten (of OEM's die zelf een standaardbrowser meelveren) om het gat te dichten. Vanaf Android 5.0 wordt dergelijke software ondersteund via Google Play en hoeven OEM's updates zelf niet meer te pushen. Google verwacht dan ook dat legacy-issues zoals deze in de toekomst kleiner worden.