26Aug
O navegador da Web no Android 4.3 e versões anteriores tem muitos grandes problemas de segurança, e o Google não irá corrigi-lo mais. Se você usa um dispositivo com Android 4.3 Jelly Bean ou anterior, você precisa agir.
Este problema é corrigido no Android 4.4 e 5.0, mas mais de 60 por cento dos dispositivos Android estão presos em dispositivos que não receberão nenhuma correção de segurança.
Por que o Google não está corrigindo navegador do Android 4.3 Anymore
As atualizações do sistema operacional Android são uma bagunça. Os fabricantes colocam uma grande quantidade de telefones diferentes e modificam o código extensivamente. O Google não pode apenas atualizar o sistema operacional em seu dispositivo; eles só podem colocar novo código e espero que o fabricante do dispositivo e sua operadora de celular trabalhem com dificuldade em obtê-lo.
Tradicionalmente, a maioria dos componentes Android foi assada no nível do sistema operacional. Isso inclui o navegador web interno, chamado "Navegador". Importante, o próprio navegador e o mecanismo de renderização subjacente estão incorporados no sistema operacional. O mecanismo do navegador é usado em todos os aplicativos Android que usam um navegador da Web incorporado, conhecido como "WebView."
Este navegador embutido baseia-se em uma versão antiga do WebKit e uma falha grave foi descoberta recentemente e relatada aGoogle. O Google não tem como fornecer uma atualização diretamente para usuários do Android para corrigir esse problema. Ele deve ser corrigido através de uma atualização do sistema operacional, que exige que os fabricantes e operadoras de dispositivos façam o trabalho.
Infelizmente, mesmo quando o Google lançava um código de atualização de segurança para o navegador do Android 4.3, muitos fabricantes de dispositivos talvez nem estivessem enviando as correções para seus usuários. A única graça de salvação é que muitos dispositivos Android foram fornecidos com o Google Chrome e os usuários são seguros enquanto usam o Chrome nesses dispositivos - mas, novamente, não enquanto você usa outros aplicativos com navegadores web incorporados.
A maioria dos usuários Android estão encalhados, mas o Android 4.4 e os mais recentes estão corrigidos O
O Google tem trabalhado para tornar as atualizações do sistema operacional Android menos importantes, quebrando mais recursos do sistema operacional principal para que possam ser atualizados através do Google Play. No Android 4.4, o navegador integrado pode ser atualizado rapidamente por fabricantes de dispositivos com um pequeno patch. No Android 5.0, o navegador é atualizado pelo Google diretamente através do Google Play.
Mas mais de 60 por cento dos dispositivos estão usando o Android 4.3 e inferior, de acordo com os próprios números do Google. O Google não lançou um "patch" para o Android 4.3, mas - se o fizessem - seria feito com os fabricantes de telefones e operadoras de celular para implementá-lo. Realmente, o Google vê os dispositivos de atualização para o Android 4.4 como a correção, e os fabricantes de dispositivos deveriam estar trabalhando com isso.
Não queremos absolver o Google aqui. Construir o navegador profundamente no sistema operacional para que ele não possa ser atualizado rapidamente para corrigir furos de segurança foi uma decisão terrível, e só podemos agradecer que agora mudaram a maneira como as versões modernas do Android funcionam. Os fabricantes de dispositivos e operadoras de celular merecem muita culpa por não atualizar os dispositivos com prontidão. Se você tem um telefone comprado em um contrato de dois anos, eles devem, pelo menos, atualizar o dispositivo com atualizações de segurança quanto à duração do contrato.
Como ficar seguro no Android 4.3 e versões anteriores
Mas este não é apenas um debate interessante entre o Google e os profissionais de segurança online. A realidade é que a maioria dos usuários do Android está usando um navegador web vulnerável e você pode ser um deles. Veja o que você pode fazer para ficar o mais seguro possível:
- Instale e use um navegador da Web diferente : Não use o aplicativo "Navegador" embutido para navegar na web. Em vez disso, instale um navegador como o Mozilla Firefox ou o Google Chrome do Google Play. O Chrome funciona apenas no Android 4.0 e acima, mas o Mozilla Firefox ainda funciona no Android 2.3 Gingerbread. Esses navegadores incluem seus próprios mecanismos de renderização, então eles não usam o mecanismo do navegador do sistema. Eles também são freqüentemente atualizados através do Google Play. Você provavelmente encontrará esses navegadores mais rápido do que o navegador embutido se você tiver um dispositivo mais antigo com o código de navegador incorporado mais antigo, mesmo assim!
- Evite navegar com navegadores da Web incorporados : apenas usar um navegador de terceiros não irá consertar tudo, pois você ainda estará em risco se você usar um navegador da Web incorporado em um aplicativo - eles usam o "WebView" do sistema, queé vulnerável. Evite navegar com navegadores incorporados se você tiver uma versão vulnerável do Android. Fique atento a um aplicativo de navegador dedicado como o Firefox ou o Chrome.
O Google realmente recomendou que os desenvolvedores de aplicativos Android englobassem os mecanismos do navegador em suas aplicações no Android 4.3 e versões anteriores. Essa é a única maneira de garantir que seus navegadores embutidos sejam seguros e seguros. Este é um hack sujo em torno do código do navegador apodretivo no próprio Android.É uma recomendação muito louca, mas os desenvolvedores podem realmente querer considerar isso - especialmente se a segurança é particularmente importante para o aplicativo.
Então, quanto de um risco é isso, de verdade? Bem, não ouvimos falar de ninguém explorando ainda. Mas o sinal claro do Google de que 60 por cento de todos os dispositivos Android atuais não receberão patches de segurança do navegador certamente foi bem-vindo aos atacantes. Esperamos que as explorações do navegador Android façam o seu caminho para várias coleções de explorações de mercado de massa, já que o Google que abandona o navegador usado na maioria dos dispositivos Android deixa um buraco enorme que pode ser explorado livremente sem o risco de que os patches solucionem os problemas.
É um pouco como os problemas de segurança com ainda usar o Windows XP - se o Windows XP ainda fosse usado pela maioria dos usuários quando foi abandonado. Sim, o ecossistema Android é uma bagunça. Deve ser possível que o Google obtenha atualizações de segurança do navegador para seus usuários, mas não é.