กูเกิลชี้แจง เหตุใดถึงหยุดออกแพตช์ความปลอดภัย WebView รุ่นเก่า

By mk Founder on Tag: Google, Security, Browser, WebKit, Android, Jelly Bean
Google

จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง

Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้

  • นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ
  • Android 4.4 เปิดให้ผู้ผลิตฮาร์ดแวร์อัพเดตไบนารีของ WebView ที่กูเกิลส่งให้ ส่วน Android 5.0 แยก WebView มาอัพเดตผ่าน Google Play Services ช่วยให้กระบวนการอัพเดตง่ายสุดๆ เพราะผู้ผลิตฮาร์ดแวร์ไม่ต้องทำอะไรเลย
  • ก่อนหน้านี้กูเกิลนำแพตช์ของ WebView มาอัพเดตให้รุ่นเก่า (backport) ด้วย แต่เนื่องจาก WebKit/WebView มีขนาดใหญ่มาก มีการอัพเดตตลอดเวลา การนำแพตช์กลับมาแก้ให้ซอฟต์แวร์เวอร์ชันเก่าเกิน 2 ปีจึงเริ่มเป็นภาระหนักของทีมงาน เป็นเหตุให้กูเกิลตัดสินใจหยุดอัพเตด WebView บน Android 4.3 ลงไปในที่สุด

คำแนะนำของกูเกิลเพื่อความปลอดภัยที่ดีบน Android

  • ควรเปิดเว็บใดๆ ด้วยเบราว์เซอร์รุ่นล่าสุดที่อัพเดตได้จาก Play Store เช่น Chrome หรือ Firefox แทนการใช้ Android Browser ที่ฝังมาพร้อมกับตัวระบบปฏิบัติการ
  • สำหรับนักพัฒนาแอพที่ต้องการเรียกใช้ WebView บน Android รุ่นเก่าๆ ควรควบคุมการใช้งานอย่างเข้มงวด เช่น บังคับเฉพาะเนื้อหาจากเว็บที่เชื่อถือได้และส่งข้อมูลผ่าน HTTPS เท่านั้น (รายละเอียด)

ที่มา - +Adrian Ludwig via Talk Android

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

art_duron Sat, 24/01/2015 - 23:26

"นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ"
5.0 > 4.4 > 4.3
4.3 ก็ถือว่าอยู่ในรุ่นใหญ่ 2 รุ่นไม่ใช่หรอครับ

-Rookies- Sun, 25/01/2015 - 00:27

+1 นั่นสิ ถ้าอัพให้ 4.3 อีกซักรุ่นก็จบละ คงไม่มีใครมาว่าละ (หรืออย่างน้อยก็ว่าน้อยลงเยอะ) ตามสถิติที่ผมโพสต์ไว้ที่ข่าวก่อนหน้า ถ้าอัพให้ 4.3 ด้วย เครื่องที่ใช้ต่ำกว่า 4.3 น่าจะเหลือแค่ 25-35% เองมั้ง ดูดีกว่า 60% เยอะ น่าจะยอมปวดหัวอีกซักปี ปีหน้าก็ไม่ปวดหัวละ (เพราะส่วนใหญ่น่าจะ 4.4 ขึ้นไปหมดแล้ว)

ป.ล. ในโพสต์ต้นฉบับ มีดราม่ากันรุ่นแรงทีเดียว

Bigkung Sun, 25/01/2015 - 09:55

พูดให้มันดูดีครับ ถ้าเอาจากใจจริงๆก็จะพูดว่า "ก็จะไม่ทำแล้วหล่ะ เสียเวลา เสียทรัพยากรบุคคลมากไป" แต่ถ้าพูดแบบนี้มันจะเป็นภาพลบเอาหน่ะสิ

sunback Sun, 25/01/2015 - 22:15

คนอื่นประชดไม่เท่าไหร่แต่เป็นคุณนี่เห็นได้ชัดเลยว่าความเป็นสาวกมันทำให้หน้ามืดตามัว

โครงการนี้เปิดมาจะครบปีแล้วครับ ไม่ใช่เพิ่งมี และแก้บั๊กกันไปเยอะ ทั้งหมดเป็น OS และโปรแกรมฝั่งเดสก์ท็อป

จริงๆ ชาว OS X ก็ควรขอบคุณโครงการนี้ เพราะเป็นบั๊กฝั่ง OS X ไปก็เยอะ นับว่าเป็นงานปิดทองหลังพระ

วันหนึ่งกลับเป็นข่าวมากับค่ายไมโครซอฟท์ คนหมั่นใส้ก็มาลุยกันเพียบ พอเป็นบั๊กของกูเกิลเลยง้างใส่เลย

ก็อย่างว่า Haters Gonna Hate สติปัญญาไม่ต้อง ใช้อคติเพียวๆ ง่ายดี

PaPaSEK Mon, 26/01/2015 - 06:45

วันหนึ่งกลับเป็นข่าวมากับค่ายไมโครซอฟท์ คนหมั่นใส้ก็มาลุยกันเพียบ พอเป็นบั๊กของกูเกิลเลยง้างใส่เลย

อ่านตรงนี้ไม่เข้าใจครับ ผมอ่านยังไงก็ตีความได้ว่าไม่ว่าเป็นใครก็ด่า

EThaiZone Sun, 25/01/2015 - 01:29

ไม่อัพก็ไม่เห็นจะเป็นอะไร เพราะ browser มันฝั่งใน firmware

พูดง่ายๆ คือถ้ายี่ห้อนั้นๆ ลอยแพรุ่นนั้นๆ แล้ว กูเกิ้ลจะแพตให้ก็แก้ไม่ได้อยู่ดี เลยเป็นเหตุให้ใน 5.0 มีการยกให้อัพเกรดได้

tekkasit Sun, 25/01/2015 - 09:22

จริงๆ ก็อยากให้กูเกิลทำลงมาให้ 4.3 นะ แล้วก็ให้รู้กันไปว่า ปัญหาอยู่ที่ กูเกิล หรือ ผู้ผลิต หรือ ผู้ให้บริการโทรศัพท์ รายไหนเป็นตัวปัญหาทำให้อัพเดตช้ากันแน่

คือทุกวันนี้ ผู้ให้บริการมือถือนิสัยเสีย ต้องการทำ customization ต้องมีโปรแกรมเฉพาะฝังมากับในรอม ซึ่งแทบจะทุกเจ้าในโลกนี้ทำทั้งสิ้น แม้ว่ากูเกิลจะส่งอัพเดตมาให้ผู้ผลิต แต่กว่าจะหลุดมาถึงเรา ยังต้องผ่านผู้ผลิตแล้วส่งต่อให้ผู้ให้บริการมือถือแต่ละเจ้าตรวจสอบก่อนส่งไปยังเครื่องผู้ใช้งาน

แต่นึกแล้วก็น่านับถือที่แอปเปิลไม่ง้อ กล้าปฎิเสธตรงนี้ เรียกว่ามีรุ่นนี้ มีฮาร์ดแวร์เดียว รอมเดียวใช้ได้ทั่วโลก

tekkasit Sun, 25/01/2015 - 09:53

แอปเปิลปฏิเสธไม่ยอมให้มีการทำ customization ในรอมของ iOS (อย่างเช่น มีแอพพิเศษสำหรับขายบริการเสริมของผู้ให้บริการแต่ละเจ้า) คือ ถ้าผู้ให้บริการมือถืออยากขาย iPhone ก็ต้องขายแบบนี้ ไม่แก้ไข ไม่มีโม ไม่แต่งกล่องให้อีกด้วย ถ้ารับไม่ได้ ก็ไม่ต้องเอาไปขาย

ข้อดีคือ ถ้าคิดจะอัพเดตเมื่อไร แอปเปิลก็ทำได้เลย ไม่ต้องห่วงความเข้ากันได้กับแอพของผู้ให้บริการแต่ละเจ้า ทุกๆ เจ้าทั่วโลก

Bigkung Sun, 25/01/2015 - 09:56

อ๋อรายนั้นเขาไม่ง้ออยู่แล้วครับ ไม่ขายให้ก็ขายเอง เดี๋ยวก็มีคนมาซื้อ ขนาดไม่มีขายในประเทศใหนคนในประเทศนั้นยังหิ้วไปขายเลย

Elysium Sun, 25/01/2015 - 10:04

ยกตัวอย่าง ซื้อโทรศัพท์ค่าย A ก็จะการแถมแอพของค่ายนั้นมาด้วยเช่น aService, aPrivilege อะไรทำนองนี้

หรือเปิดใช้งานครั้งแรกก็จะมีหน้าน้อง "อิ่มอก" ออกมาต้อนรับ

แต่ของ Apple ไม่เป็นแบบนั้น เปิดเครื่องครั้งแรกคุณจะเจอแต่ แอพของ Apple เพียวๆ เลย

Bigkung Sun, 25/01/2015 - 10:16

มันก็ไม่ต่างจาก Laptop Windows หน่ะครับ ที่มีโปรแกรมของผู้ผลิตใส่มาเต็มไปหมด ต้องมานั่งเอาออก เพราะแค่เปิดเครื่องมาไอ้เจ้าพวกนี้ก็ดึงเครื่องให้ช้าแล้ว แต่ของ โทรศัพท์มันต้องแบ่ง 2 ส่วนครับไอ้ที่ยัดเยียดมาหน่ะมันของค่ายผู้ผลิตเจ้านั้นๆ ส่วนผู้ให้บริการข้อมูลกับสัญญานไม่มีสิทธิ์ทำ

Hadakung Sun, 25/01/2015 - 12:25

แต่บนพีชีมันแค่การลงปกติที่สามารถลบได้ทันทีนะครับ มันต่างจากต้องรูทก่อนแล้วค่อยลบอยู่พอสมควร

PathSNW Sun, 25/01/2015 - 10:45

ต่อให้ Google อัพเดตให้ 4.3 หรือแม่แต่ 4.2, 4.1 และ 4.0 ถ้าผู้ผลิตไม่สนใจจะอัพเดตให้ ยังไงก็ไม่ได้อยู่ดี

ถ้าผู้ผลิตจะอัพเดตซอฟท์แวร์ให้ มีเหรอที่จะไม่ได้ 4.4 หรือ 5.0

BLiNDiNG Sun, 25/01/2015 - 12:27

อาา จะว่าไปก็จริงแฮะ เพราะรุ่นก่อนหน้านั้น webview มันฝังใน firmware สินะ

กำลังคล้อยตามเมนต์บนๆเลย

แต่ถ้าทำไว้หน่อยก็ไม่เสียหายนะ ความผิดไปตกอยู่กับ ผู้ผลิตมือถือแทน 555

nrml Sun, 25/01/2015 - 11:10

"เป็นภาระหนักของทีมงาน" - แสดงว่าเข้าใจคำว่าข้อจำกัดของทรัพยากรและเวลา ทำแล้วเสียเวลาเยอะเลยไม่ทำมันซะเลย แต่ก็ดันไปประกาศกฎ 90 วันเหมือนคนไม่เข้าใจเรื่องที่ว่า

kadeep Sun, 25/01/2015 - 12:01

เขาก็แจ้งความปลอดภัยเองอยู่นิครับ และบอกวิธีแก้ด้วย ไม่ใช่เก็บงำไว้
ไม่เหมืนอบางบริษัท ขนาดมีคนแจ้งถึง 90 วันก็ยังเฉย

PaPaSEK Sun, 25/01/2015 - 12:21

tgst Sun, 25/01/2015 - 12:26

เคสนี้คงเรียกว่าเฉยไม่ได้มั้งครับ คือพี่ท่านกำลังจะแก้อยู่แล้ว แต่เกิด accident ทำให้ต้องเลื่อนเวลาออกไป ไม่ใช่ว่าเตือนแล้วยังไม่สนใจนะ

Hadakung Sun, 25/01/2015 - 14:28

อาจมีปัญหากับทางกระทรวงเศรษฐกิจดิจิทัลครับเพราะส้รางความ(ไม่)มั่นคงแก่กระทรวงที่ไล่จับผิดคนมากกว่าพัฒนาไอทีประเทศ เพ้อไปไกลละ

osmiumwo1f Sun, 25/01/2015 - 14:06

ปัญหาคือพวกแอพฯ ที่ใช้ webview (แอพฯ ที่เอาหน้าเว็บเพจมาเปิดในแอพฯ ตรงๆ) จะยังคงมีช่องโหว่ตัวนี้อยู่ครับ โดยเฉพาะ Android ตั้งแต่ 4.3 ลงไปที่ไม่มีโอกาสได้รับ patch ครับ

ch.krich Mon, 26/01/2015 - 15:58

App ยังไงก็ต้องใช้ Web view อยู่แล้วครับ เพราะการเขียนแบบ Chrome หมายถึงต้องเอา Engine การแสดงผลหน้าเว็บทั้งหมด การประมวลผล HTML, Javascript และอื่นๆ ทุกอย่างเข้ามารวมในโปรแกรมด้วย

การใช้ Web view เป็นทางออกที่ง่ายที่สุดสำหรับโปรแกรมอื่นๆ ที่จะแสดงผลหน้าเว็บครับ

nessuchan Mon, 26/01/2015 - 06:57

งงว่าไปด่า google กันหมด เอ่อแปลกมาก

ทำไมไม่มีใครไปด่าค่ายมือถือบ้าง ที่ไม่อัพ 5.0 ให้ จะได้หมดปัญหา

หรือหลายคนสับสนคิดว่าเป็น windows xp กันเนี่ย ฮึ?

เพราะต่อให้อัพเดท 4.3 ให้ แต่ถ้ามือถือเครื่องนั้นโดนแพแล้ว คิดหรือว่าค่ายมือถือจะอัพเดทให้?

ไม่ต้องพูดถึง custom รอมนะ อันนั้น ไป 4.4 5.0 เลยดีกว่า

PaPaSEK Mon, 26/01/2015 - 08:43

เพราะไม่ใช่ว่าทุกเครื่องจะได้ไปต่อ และก็ไม่ใช่ว่าทุกเครื่องจะสเปคถึงไงครับ

ที่สำคัญคือกูเกิลเคยบอกว่าจะตามอัพให้ในระยะ 2 เมเจอร์เชนจ์ 4.3 ก็ควรจะถูกอัพเดท

ส่วนว่าผู้ผลิตจะอัพให้หรือเปล่านี่เป็นอีกเรื่องนะครับ ถ้ากูเกิลแปะแพชท์ให้แล้วก็ไม่มีใครด่ากูเกิลได้ ถือว่าทำหน้าที่ตัวเองถึงที่สุดแล้ว ก็ค่อยไปด่าผู้ผลิตกันต่อ

จะให้นั่งทนไม่ด่าไม่พูดอะไรก็คงยากอ่ะครับ แต่ผมไม่ด่าอะไรนะ ผมใช้ Nexus 4 ก็เลยสบายหน่อยครับ

-Rookies- Mon, 26/01/2015 - 11:25

แล้วทำไมคิดว่าค่ายมือถือจะไม่อัพให้ล่ะครับ? ผมคิดว่าการอัพ "ข้ามเวอร์ชัน" กับการ "อัพเดทเวอร์ชันเดิมให้ปลอดภัยขึ้น" ความยากน่าจะต่างกันโขอยู่นะครับ อย่างน้อยมันก็ยังมีลุ้นกว่าเยอะ แต่ถ้ากูเกิลไม่อัพให้เลยก็ไม่ต้องลุ้นเลย เพราะงั้นตอนนี้จะให้ไปด่าค่ายมือถือมันก็ไม่ถูกนี่ครับ (คือด่าว่าลอยแพน่ะด่าอยู่แล้ว แต่เรื่องนี้มันคนละเรื่องกัน)

255BB Mon, 26/01/2015 - 08:14

google ก็บอกชัดเจนนะว่าจะสนับสนุนแอนดรอยด์เวอชันหนึ่งๆ 18 เดือน(เวอร์ชันใหม่ก็ออกทุกๆ 6 เดือน) ถ้าเกินก็อาจไม่มีแล้ว ทำไมไม่โวย OEM บ้างว่าทำไมไม่ออกอัพเดท 4.4 , 5 ให้ลูกค้า