No es la primera vez que sucede, y lamentablemente no será la última. Tarde o temprano toda compañía debe enfrentar el dilema de redirigir recursos para extender el soporte en sus productos más antiguos, o seguir adelante y afectar a una gran cantidad de usuarios. Google se encuentra en esa encrucijada. Un nuevo bug presente en Android 4.3 o anterior alcanza al 60 por ciento de los smartphones, pero todo parece indicar que no habrá un parche oficial para corregirlo.
En estos últimos días hemos tenido la sensación de que Google atraviesa un problema serio a la hora de reportar y publicar bugs. Su último roce con Microsoft provocó varios disparos en la frontera, pero ahora llega el turno de algo más íntimo por así decirlo: Android. A pesar de los esfuerzos que realizó Mountain View, es imposible esconder los efectos de la fragmentación en Android cuando llega el momento de actualizarlo. Una buena parte de la responsabilidad es de los OEMs y los proveedores, y sus políticas de updates son un claro ejemplo de lo que no se debe hacer. Esto ha llevado a la formación de una tormenta perfecta, en la que tenemos a la gran mayoría del mercado con versiones antiguas de Android sobre dispositivos que no pueden ser actualizados por métodos convencionales. En este punto algunos tal vez piensen en builds alternativos como CyanogenMod, pero su aplicación es demasiado artesanal, y los encargados del proyecto no han encontrado la manera de simplificar drásticamente el proceso de instalación.
La última novedad nos lleva a un bug presente en el componente WebView (básicamente, renderiza páginas web en el dispositivo, incluso dentro de otras aplicaciones), el cual a su vez está basado en una versión de WebKit. En Android KitKat y superior, WebKit fue reemplazado por el motor Blink, por lo que el bug no existe. Sin embargo, de acuerdo a los números oficiales de Google, el 39.1 por ciento de los usuarios está usando a KitKat (Android 5.0 está por debajo del 0.1 por ciento), mientras que el 60.9 por ciento restante posee Android 4.3 o anterior. En otras palabras, más de la mitad del ecosistema Android se encuentra expuesto a este bug. Tod Breasley, uno de los desarrolladores del Metasploit Framework, mantuvo una comunicación con los administradores de incidentes en Android, y confirmaron que no pueden hacer nada más allá de notificar a los OEM. Si las versiones afectadas son anteriores a Android 4.4, Google generalmente no desarrolla parches, pero le da la bienvenida a cualquier corrección que acompañe al reporte correspondiente (que será tenida en consideración, y si corresponde, trasladada a los partners), o que sea colocada directamente en AOSP. Otros componentes aún recibirán actualizaciones por la vía del “back-port”, pero WebView pre-KitKat, está frito.
Una de las razones detrás de esta decisión es que Google ya no certifica dispositivos que incluyen al Navegador de Android. Y a esto se suma otra decisión cuestionable, que es la de no ofrecer ninguna clase de comentario público sobre las vulnerabilidades de Android. De hecho, la única referencia general que tienen los desarrolladores para detectar la corrección de un bug es el mensaje asociado al “commit” en el código. El gran dolor que sufre Android en segundo plano fue expuesto por la gente de Ars Technica: Google creó una plataforma que no puede actualizar directamente. Los dispositivos oficiales de Mountain View o con la etiqueta “Google Play Edition” apenas representan una fracción del mercado. El resto es casi religiosamente bloqueado por OEMs y proveedores, que prefieren vender nuevos dispositivos a consumir recursos brindando soporte. Dicho de otro modo, Android no tiene un “Windows Update”. Al menos en lo que se refiere a WebView, tres quintos del mercado Android acaba de ser declarado obsoleto. Algo me dice que la historia no va a terminar aquí.