26Aug

Waarschuwing: de webbrowser van uw Android-telefoon ontvangt waarschijnlijk geen beveiligingsupdates

De webbrowser in Android 4.3 en eerder heeft veel grote beveiligingsproblemen en Google zal deze niet meer patchen. Als u een apparaat met Android 4.3 Jelly Bean of eerder gebruikt, moet u actie ondernemen.

Dit probleem is opgelost in Android 4.4 en 5.0, maar meer dan 60 procent van Android-apparaten zit vast op apparaten die geen beveiligingsoplossingen ontvangen.

Waarom Google de Android 4.3-browser niet meer patieert

Updates van het Android-besturingssysteem zijn een puinhoop. Fabrikanten hebben een groot aantal verschillende telefoons uitgegeven en de code uitgebreid aangepast. Google kan niet alleen het besturingssysteem op uw apparaat bijwerken - ze kunnen alleen nieuwe code plaatsen en hopen dat de fabrikant van het apparaat en uw mobiele provider het werk hard aan u kunnen doen.

Traditioneel zijn de meeste Android-componenten ingebakken op besturingssysteemniveau. Dit omvat de ingebouwde webbrowser, genaamd "Browser". Belangrijk is dat de browser zelf en de onderliggende rendering-engine in het besturingssysteem zijn ingebouwd. De browsermachine wordt gebruikt in elke Android-app die een ingesloten webbrowser gebruikt, ook wel "WebView" genoemd.

Deze ingebouwde browser is gebaseerd op een oude versie van WebKit en recent is er een ernstige fout ontdekt en gemeld aanGoogle. Google kan Android geen rechtstreekse update bieden om dit probleem op te lossen. Het moet worden opgelost door middel van een update van het besturingssysteem, waarvoor fabrikanten van apparatuur en providers het werk moeten doen.

Helaas, zelfs toen Google beveiligingsupdatecodes vrijgaf voor de Android 4.3-browser, hebben veel fabrikanten van apparaten de fixes mogelijk niet eens aan hun gebruikers verzonden. De enige goedmaker is dat veel Android-apparaten zijn geleverd met Google Chrome en dat gebruikers veilig zijn tijdens het gebruik van Chrome op die apparaten - maar, nogmaals, niet tijdens het gebruik van andere apps met ingesloten webbrowsers.

De meeste Android-gebruikers zijn gestrand, maar Android 4.4 en nieuwer zijn opgelost

Google heeft gewerkt aan het minder belangrijk maken van Android OS-updates, waardoor meer functies worden verbroken uit het centrale besturingssysteem zodat ze kunnen worden bijgewerkt via Google Play. In Android 4.4 kan de ingebouwde browser snel worden bijgewerkt door apparaatfabrikanten met een kleine patch. In Android 5.0 wordt de browser door Google direct bijgewerkt via Google Play.

Maar meer dan 60 procent van de apparaten gebruikt Android 4.3 en lager, volgens de eigen nummers van Google. Google heeft nog geen "patch" voor Android 4.3 uitgebracht, maar als ze dat wel deden, zou het aan telefoonfabrikanten en mobiele providers zijn om het uit te rollen. Echt waar, Google ziet het updaten van apparaten naar Android 4.4 als de oplossing, en fabrikanten van apparaten zouden daar in plaats daarvan aan moeten werken.

We willen Google hier niet ontkennen. Het bouwen van de browser diep in het besturingssysteem, zodat het niet snel kan worden bijgewerkt om gaten in de beveiliging op te lossen, was een vreselijke beslissing, en we kunnen alleen maar dankbaar zijn dat ze de manier waarop moderne Android-versies werken nu hebben veranderd. Fabrikanten van apparaten en mobiele providers verdienen veel schuld voor het niet onmiddellijk updaten van apparaten. Als u een telefoon heeft gekocht met een contract van twee jaar, moeten ze het apparaat op zijn minst bijwerken met beveiligingsupdates voor de duur van het contract!

Hoe veilig te blijven op Android 4.3 en eerdere versies

Maar dit is niet alleen een interessant debat tussen Google en beveiligingsprofessionals online. De realiteit is dat de meeste Android-gebruikers een kwetsbare webbrowser gebruiken en jij misschien een van hen bent. Hier is wat u kunt doen om zo veilig mogelijk te blijven:

  • Een andere webbrowser installeren en gebruiken : Gebruik de ingebouwde "Browser" -app niet om op internet te surfen. Installeer in plaats daarvan een browser zoals Mozilla Firefox of Google Chrome vanuit Google Play. Chrome werkt alleen op Android 4.0 en hoger, maar Mozilla Firefox werkt nog steeds op Android 2.3 Gingerbread. Deze browsers bevatten hun eigen rendering-engines, dus ze gebruiken de browser-engine van het systeem niet. Ze worden ook regelmatig bijgewerkt via Google Play. Je zult deze browsers waarschijnlijk sneller vinden dan de ingebouwde browser als je een ouder apparaat met een oudere ingebouwde browsercode hebt!
  • Voorkomen van browsen met ingesloten webbrowsers : als u alleen een externe browser gebruikt, wordt niet alles hersteld, omdat u nog steeds een risico loopt als u een ingesloten webbrowser in een app gebruikt. Deze gebruiken de 'WebView' van het systeem, dieis kwetsbaar. Vermijd browsen met ingesloten browsers als u een kwetsbare versie van Android heeft. Blijf bij een speciale browser-app zoals Firefox of Chrome.

Google adviseerde Android-ontwikkelaars daadwerkelijk browser-engines te bundelen in hun apps op Android 4.3 en eerder. Dat is de enige manier om ervoor te zorgen dat hun ingebouwde browsers veilig zijn. Dit is een vuile hack rond de rottende browsercode in Android zelf. Het is een vrij gekke aanbeveling, maar ontwikkelaars willen dit misschien overwegen, vooral als beveiliging van groot belang is voor de app.

Dus hoeveel van een risico is dit eigenlijk? Nou, we hebben nog nooit gehoord van iemand die het heeft misbruikt. Maar het duidelijke signaal van Google dat 60 procent van alle huidige Android-apparaten geen beveiligingspatches voor de browser zullen ontvangen, is zeker welkom geweest bij aanvallers. We verwachten dat exploits van Android-browsers hun weg vinden naar verschillende verzamelingen van exploits in de massamarkt, aangezien Google de browser verlaat die op de meeste Android-apparaten wordt gebruikt, een gapend gat achterlaat dat vrij kan worden gebruikt zonder het risico te lopen dat patches de problemen oplossen.

Het lijkt een beetje op de beveiligingsproblemen bij het gebruik van Windows XP - als Windows XP nog steeds door de meeste gebruikers werd gebruikt toen het werd verlaten. Ja, het Android-ecosysteem is een puinhoop. Het zou mogelijk moeten zijn voor Google om browserbeveiligingsupdates te krijgen voor hun gebruikers, maar dat is het niet.