26Aug
Webbrowseren i Android 4.3 og tidligere har mange store sikkerhedsproblemer, og Google vil ikke patchere det længere. Hvis du bruger en enhed med Android 4.3 Jelly Bean eller tidligere, skal du handle.
Dette problem er rettet i Android 4.4 og 5.0, men mere end 60 procent af Android-enheder sidder fast på enheder, der ikke modtager sikkerhedsopdateringer.
Hvorfor Google ikke lapper Android 4.3's Browser Anymore
Android-operativsystemopdateringer er et rod. Fabrikanter satte et stort antal forskellige telefoner ud og ændrede koden i vid udstrækning. Google kan ikke bare opdatere operativsystemet på din enhed - de kan kun udstede ny kode og håber enhedens producent og din mobiloperatør gør det hårde arbejde for at få det til dig.
Traditionelt er de fleste Android-komponenter blevet bagt ind på operativsystemniveau. Dette inkluderer den indbyggede webbrowser, der hedder "Browser." Det er vigtigt, at browseren selv og den underliggende gengivelsesmaskine er indbygget i operativsystemet. Browsermotoren bruges i alle Android-apper, der bruger en integreret webbrowser, kendt som en "WebView".
Denne indbyggede browser er baseret på en gammel version af WebKit, og en alvorlig fejl blev for nylig opdaget i den og rapporteret tilGoogle. Google har ingen mulighed for at give en opdatering direkte til Android-brugere for at løse dette problem. Det skal løses gennem en operativsystemopdatering, som kræver, at enhedsproducenter og -virksomheder gør arbejdet.
Desværre, selvom Google udlod sikkerhedsopdateringskode til Android 4.3s browser, har mange enhedsproducenter måske ikke engang sendt forsendelserne til deres brugere. Den eneste gemme nåde er, at mange Android-enheder har afsendt med Google Chrome, og brugerne er sikre, mens du bruger Chrome på disse enheder - men ikke igen, mens du bruger andre apps med indbyggede webbrowsere.
De fleste Android-brugere er strandet, men Android 4.4 og nyere er faste
Google har arbejdet på at gøre Android OS opdateringer mindre, og flere funktioner fjernes fra kernesystemet, så de kan opdateres via Google Play. I Android 4.4 kan den indbyggede browser hurtigt opdateres af enhedsproducenter med en lille patch. I Android 5.0 opdateres browseren direkte af Google via Google Play.
Men mere end 60 procent af enheder bruger Android 4.3 og lavere, ifølge Googles egne tal. Google har ikke udgivet en "patch" til Android 4.3, men hvis de gjorde det, ville det være op til telefonproducenter og mobilselskaber at rulle det ud. Virkelig, Google ser opdateringsenheder til Android 4.4 som rettelsen, og enhedsproducenter skal arbejde på det i stedet.
Vi mener ikke at fjerne Google her. At opbygge browseren dybt ind i operativsystemet, så det ikke kan opdateres hurtigt for at rette sikkerhedshuller var en forfærdelig beslutning, og vi kan kun være taknemmelige, at de nu har ændret den måde, som moderne versioner af Android fungerer. Enhedsproducenter og mobilselskaber fortjener meget skylden for ikke at opdatere enheder straks. Hvis du har en telefon købt på en toårig kontrakt, skal de mindst opdatere enheden med sikkerhedsopdateringer for kontraktens længde!
Sådan forbliver du sikker på Android 4.3 og tidligere versioner
Men dette er ikke bare en interessant debat mellem Google og sikkerhedspersonale online. Virkeligheden er, at de fleste Android-brugere bruger en sårbar webbrowser, og du kan være en af dem. Her er hvad du kan gøre for at forblive så sikkert som muligt:
- Installer og brug en anden webbrowser : Brug ikke den indbyggede "Browser" app til at surfe på internettet. I stedet skal du installere en browser som Mozilla Firefox eller Google Chrome fra Google Play. Chrome fungerer kun på Android 4.0 og nyere, men Mozilla Firefox fungerer stadig på Android 2.3 Gingerbread. Disse browsere omfatter deres egne gengivelsesmotorer, så de ikke bruger systemets browser-motor. De opdateres også ofte via Google Play. Du finder sikkert disse browsere hurtigere end den indbyggede browser, hvis du har en ældre enhed med ældre indbygget browser kode, alligevel!
- Undgå at gennemse med indbyggede webbrowsere : At bruge en tredjepartsbrowser vil ikke løse alt, da du stadig er i fare, hvis du bruger en integreret webbrowser i en app - disse bruger systemets WebView, somer sårbar. Undgå at browse med indlejrede browsere, hvis du har en sårbar version af Android. Hold dig til en dedikeret browser app som Firefox eller Chrome.
Google anbefalede faktisk Android apps udviklere bundle browser motorer i deres apps på Android 4.3 og tidligere. Det er den eneste måde, hvorpå de kan sikre, at deres indbyggede browsere er sikre og sikre. Dette er en beskidt hack omkring den rottende browser kode i Android selv. Det er en temmelig skør anbefaling, men udviklere kan faktisk overveje dette - især hvis sikkerhed er særlig vigtig for appen.
Så hvor meget af en risiko er dette, virkelig? Nå, vi har ikke hørt om nogen der udnytter det endnu. Men Googles klare signal om, at 60 procent af alle nuværende Android-enheder ikke modtager browser-sikkerhedsrettelser, har sikkert været velkommen til angriberne. Vi forventer at se, at Android-browserudnyttelser gør deres vej til forskellige massemarkedsindsamlinger af udnyttelser, da Google, der forlader browseren, der bruges på de fleste Android-enheder, efterlader et hul, der kan udnyttes frit uden risiko for, at patches vil løse problemerne.
Det er lidt ligesom sikkerhedsproblemerne med stadig brug af Windows XP - hvis Windows XP stadig bruges af de fleste brugere, når den blev forladt. Ja, Android økosystemet er et rod. Det bør være muligt for Google at få browsersikkerhedsopdateringer til deres brugere, men det er det ikke.