26Aug
Przeglądarka internetowa w systemie Android 4.3 i wcześniejszych ma wiele poważnych problemów z bezpieczeństwem, a Google nie będzie już łatać jej. Jeśli używasz urządzenia z Androidem 4.3 Jelly Bean lub wcześniejszym, musisz podjąć działanie.
Ten problem został naprawiony w systemach Android 4.4 i 5.0, ale ponad 60 procent urządzeń z Androidem utknęło na urządzeniach, które nie otrzymają żadnych poprawek bezpieczeństwa.
Dlaczego Google nie łata przeglądarki Androida 4.3 Już
Aktualizacje systemu operacyjnego Android to bałagan. Producenci wystawiają ogromną liczbę różnych telefonów i intensywnie modyfikują kod. Google nie może po prostu zaktualizować systemu operacyjnego na swoim urządzeniu - mogą one tylko wytworzyć nowy kod i mieć nadzieję, że producent urządzenia i operator komórkowy wykonają ciężką pracę, aby go uzyskać.
Tradycyjnie większość komponentów Androida została wypalona na poziomie systemu operacyjnego. Obejmuje to wbudowaną przeglądarkę internetową o nazwie "Przeglądarka". Co ważne, sama przeglądarka i bazowy mechanizm renderujący są wbudowane w system operacyjny. Silnik przeglądarki jest używany we wszystkich aplikacjach na Androida, które korzystają z wbudowanej przeglądarki internetowej, znanej jako "WebView".
Ta wbudowana przeglądarka oparta jest na starej wersji WebKit, a niedawno odkryto w niej poważną lukę i zgłosił się do niejGoogle. Google nie może udostępnić aktualizacji bezpośrednio użytkownikom Androida, aby rozwiązać ten problem. Musi zostać naprawiony poprzez aktualizację systemu operacyjnego, która wymaga od producentów i przewoźników urządzeń wykonania pracy.
Niestety, nawet gdy Google wypuszczał kod aktualizacji zabezpieczeń dla przeglądarki Androida 4.3, wielu producentów urządzeń mogło nawet nie wysłać poprawek do swoich użytkowników. Jedyną oszczędnością jest to, że wiele urządzeń z Androidem zostało dostarczonych z Google Chrome, a użytkownicy są bezpieczni podczas korzystania z Chrome na tych urządzeniach - ale znowu nie podczas korzystania z innych aplikacji z wbudowanymi przeglądarkami internetowymi.
Większość użytkowników Androida jest spakowana, ale Android 4.4 i nowsze są naprawione.
Firma Google pracuje nad tym, aby aktualizacje Androida OS były mniej ważne, co pozwoliło na usunięcie większej liczby funkcji z podstawowego systemu operacyjnego, aby można było je aktualizować w Google Play. W systemie Android 4.4 wbudowana przeglądarka może zostać szybko zaktualizowana przez producentów urządzeń za pomocą niewielkiej łatki. W Androidzie 5.0 przeglądarka jest aktualizowana przez Google bezpośrednio przez Google Play.
Jednak ponad 60 procent urządzeń używa Androida 4.3 i niższych, zgodnie z własnymi danymi Google. Google nie wydało "łatki" dla systemu Android 4.3, ale gdyby tak było, to producenci telefonów i operatorzy komórkowi musieliby ją wdrożyć.Naprawdę, Google widzi aktualizację urządzeń do Androida 4.4 jako poprawki, a producenci urządzeń powinni nad tym pracować.
Nie chcemy rozgrzebywać Google'a tutaj. Zbudowanie przeglądarki w systemie operacyjnym, aby nie można było jej szybko aktualizować w celu naprawienia luk w zabezpieczeniach, było okropną decyzją. Możemy tylko być wdzięczni, że zmienili sposób, w jaki pracują współczesne wersje Androida. Producenci urządzeń i operatorzy komórkowi zasługują na dużą odpowiedzialność za niezwłoczną aktualizację urządzeń.Jeśli masz telefon kupiony na podstawie dwuletniego kontraktu, powinien przynajmniej zaktualizować urządzenie o aktualizacje zabezpieczeń na czas trwania umowy!
Jak zachować bezpieczeństwo w systemie Android 4.3 i starszych wersjach
To nie jest tylko interesująca debata między Google a specjalistami od bezpieczeństwa online. W rzeczywistości większość użytkowników Androida używa podatnej na atak przeglądarki internetowej, a Ty możesz być jednym z nich. Oto, co możesz zrobić, aby zachować najwyższy poziom bezpieczeństwa:
- Zainstaluj i użyj innej przeglądarki internetowej : Nie używaj wbudowanej aplikacji "Przeglądarka" do przeglądania stron internetowych. Zamiast tego zainstaluj przeglądarkę taką jak Mozilla Firefox lub Google Chrome z Google Play. Chrome działa tylko w systemie Android 4.0 i nowszym, ale Mozilla Firefox nadal działa w systemie Android 2.3 Gingerbread. Te przeglądarki zawierają własne silniki renderowania, więc nie używają silnika przeglądarki systemu. Są też często aktualizowane w Google Play. Prawdopodobnie znajdziesz te przeglądarki szybciej niż wbudowana przeglądarka, jeśli masz starsze urządzenie ze starszym wbudowanym kodem przeglądarki!
- Unikaj przeglądania za pomocą wbudowanych przeglądarek internetowych : samo użycie zewnętrznej przeglądarki nie naprawi wszystkiego, ponieważ nadal będziesz narażony na ryzyko, jeśli używasz wbudowanej przeglądarki internetowej w aplikacji - korzystają one z systemu "WebView", któryjest podatny na ataki. Unikaj przeglądania przeglądarek wbudowanych, jeśli masz podatną wersję Androida. Trzymaj się dedykowanej aplikacji przeglądarki, takiej jak Firefox lub Chrome.
Google faktycznie polecił programistom aplikacji na Androida łączyć silniki przeglądarki w swoich aplikacjach na Androida 4.3 lub wcześniejszym. To jedyny sposób, aby upewnić się, że wbudowane przeglądarki są bezpieczne. To jest brudny hack wokół gnijącego kodu przeglądarki w samym systemie Android. To szalone zalecenie, ale programiści mogą chcieć to rozważyć - zwłaszcza, jeśli bezpieczeństwo jest szczególnie ważne dla aplikacji.
Jak duże jest to ryzyko? Cóż, nie słyszeliśmy o nikim, kto by to wykorzystał.Jednak wyraźny sygnał Google, że 60 proc. Wszystkich obecnych urządzeń z Androidem nie otrzymuje poprawek zabezpieczeń przeglądarki, z pewnością był mile widziany przez napastników. Spodziewamy się, że exploity korzystające z przeglądarek Androida trafią do różnych masowych exploitów, ponieważ Google rezygnuje z przeglądarki używanej na większości urządzeń z systemem Android, pozostawiając otwartą dziurę, którą można swobodnie wykorzystać bez ryzyka, że poprawki naprawią te problemy.
To trochę tak, jak z problemami z bezpieczeństwem w dalszym korzystaniu z Windows XP - jeśli Windows XP był nadal używany przez większość użytkowników, gdy był porzucony. Tak, ekosystem Androida to bałagan. Google powinien mieć możliwość uzyskania aktualizacji bezpieczeństwa przeglądarki dla swoich użytkowników, ale tak nie jest.