26Aug
Web preglednik u Androidu 4.3 i noviji ima mnoge velike sigurnosne probleme, a Google više neće to krpiti. Ako upotrebljavate uređaj s Androidom 4.3 Jelly Bean ili ranije, morate poduzeti radnje.
Ovaj problem je fiksan za Android 4.4 i 5.0, ali više od 60 posto Android uređaja zaglavi se na uređaje koji neće primiti sigurnosne ispravke.
Zašto Google ne mijenja Android 4.3 preglednik više
Ažuriranja operacijskog sustava Android su nered. Proizvođači su ugasili veliki broj različitih telefona i opsežno mijenjali kôd. Google ne može samo ažurirati operativni sustav na vašem uređaju - oni mogu samo objaviti novi kod i nadati se da proizvođač uređaja i vaš mobilni operater teško rade za to.
Tradicionalno, većina Android komponenti su pečena na razini operacijskog sustava. To uključuje ugrađeni web preglednik pod nazivom "Browser". Važno je da sam preglednik i temeljni renderirani motor ugrađuju operativni sustav. Motor preglednika upotrebljava se u svakoj Android aplikaciji koja koristi ugrađeni web-preglednik, poznat kao "WebView".
Ovaj ugrađeni preglednik temelji se na staroj verziji WebKita, a nedavno je otkriven i ozbiljan nedostatak i prijavljenGoogle. Google nema način pružanja ažuriranja izravno korisnicima Androida kako bi riješio taj problem. On mora biti fiksiran putem ažuriranja operacijskog sustava, što zahtijeva da proizvođači uređaja i operateri obavljaju posao.
Nažalost, čak i kada je Google objavio kôd sigurnosnog ažuriranja za preglednik Androida 4.3, mnogi proizvođači uređaja možda čak nisu isporučili popravke svojim korisnicima. Jedina uštedna milost je da su mnogi uređaji sa sustavom Android isporučeni s Google Chromeom, a korisnici su sigurni prilikom upotrebe Chromea na tim uređajima - ali opet ne upotrebljavajući druge aplikacije s ugrađenim web preglednicima.
Većina korisnika Androida su zaokružena, ali Android 4.4 i noviji su se fiksni
Google je radio na tome da ažuriranja OS-a Android postanu manje važne, čime se razbijanje više značajki iz osnovnog operacijskog sustava, tako da se mogu ažurirati putem usluge Google Play. U sustavu Android 4.4 ugrađeni preglednik može brzo ažurirati proizvođači uređaja s malom zakrpom. Na Androidu 5.0 Google izravno ažurira preglednik putem usluge Google Play.
Ali više od 60 posto uređaja koristi Android 4.3 i nižu, prema Googleovim vlastitim brojevima. Google nije objavio "zakrpu" za Android 4.3, ali - ako jesu - to bi trebalo biti do proizvođača telefona i mobilnih operatera kako bi ih izbacili. Doista, Google smatra da uređaji ažuriranja za Android 4.4 smatraju popravkom, a proizvođači uređaja trebaju raditi na tome umjesto toga.
Ovdje ne želimo osloboditi Google. Izgradnjom preglednika duboko u operacijski sustav tako da se ne može brzo ažurirati kako bi popravili sigurnosne rupe bio je strašna odluka, a mi možemo biti zahvalni što su sada promijenili način na koji moderne verzije Androida funkcioniraju. Proizvođači uređaja i mobilni operateri zaslužuju puno krivnje za ne ažuriranje uređaja odmah. Ako ste telefon kupili na dvogodišnjem ugovoru, trebali bi najmanje ažurirati uređaj sigurnosnim ažuriranjem za duljinu ugovora!
Kako ostati siguran na Android 4.3 i prethodnim verzijama
Ali to nije samo zanimljiva rasprava između Googlea i sigurnosnih stručnjaka na mreži. Stvarnost je da većina korisnika Androida upotrebljava ranjiv web preglednik, a vi svibanj biti jedan od njih. Evo što možete učiniti kako biste ostali što sigurniji:
- Instalirajte i koristite drugi web preglednik : Nemojte koristiti ugrađenu aplikaciju "Browser" za pregledavanje weba. Umjesto toga, instalirajte preglednik poput Mozilla Firefox ili Google Chrome s Google Playa. Chrome radi samo na Androidu 4.0 i novijim verzijama, ali Mozilla Firefox i dalje radi na Android 2.3 Gingerbreadu. Ti preglednici uključuju svoje vlastite renderiranje motora, tako da ne koriste motora preglednika sustava.Često se ažuriraju i putem usluge Google Play. Vjerojatno ćete pronaći te preglednike brže od ugrađenog preglednika ako u svakom slučaju imate stariji uređaj sa starijim ugrađenim kôdom preglednika!
- Izbjegavanje pregledavanja s ugrađenim web preglednicima : Upotreba preglednika treće strane neće ispraviti sve, jer ćete i dalje biti u opasnosti ako u aplikaciji koristite ugrađeni web preglednik - oni koriste sustav "WebView" sustava kojije ranjiva. Izbjegavajte pregledavanje s ugrađenim preglednicima ako imate ranjivu verziju Androida. Držite se namjenske aplikacije preglednika kao što su Firefox ili Chrome.
Google je zapravo preporučio da razvojni programeri za Android aplikacije snabdijevaju motore preglednika u svojim aplikacijama na Androidu 4.3 i starijima. To je jedini način da mogu osigurati da njihovi ugrađeni preglednici budu sigurni i sigurni. Ovo je prljavo kopiranje oko koda truljenja preglednika u samom Androidu. To je prilično luda prijedlog, no programeri možda žele razmotriti to - pogotovo ako je sigurnost osobito važna za aplikaciju.
Dakle, koliko je rizika ovo, stvarno? Pa, nismo čuli da je netko još iskorištavao. No Googleov je jasan signal da 60 posto svih trenutačnih Android uređaja neće primati sigurnosne zakrpe preglednika zasigurno je bilo dobrodošlo napadačima. Očekujemo da će se eksploatirajući pretraživači za Android iskoristiti u različite masovne zbirke eksploatacija jer Google napušta preglednik koji se upotrebljava na većini uređaja s Androidom ostavlja otvorenu rupu koja se može slobodno iskoristiti bez rizika da će zakrpe riješiti probleme.
To je pomalo poput sigurnosnih problema s još uvijek korištenjem sustava Windows XP - ako je većina korisnika Windows XP još uvijek koristila kada je bila napuštena. Da, Androidov ekosustav je nered. Google bi trebao omogućiti da svojim korisnicima dobije sigurnosna ažuriranja preglednika, ali to nije.