26Aug
Browserul web din Android 4.3 și versiuni anterioare are numeroase probleme de securitate, iar Google nu va mai fi repartizat. Dacă utilizați un dispozitiv cu Android 4.3 Jelly Bean sau mai devreme, trebuie să luați măsuri.
Această problemă este rezolvată în Android 4.4 și 5.0, dar mai mult de 60% dintre dispozitivele Android sunt blocate pe dispozitivele care nu primesc nicio remediere de securitate.
De ce Google nu patch-uri Android 4.3's Browser Anymore
actualizări de sistem de operare Android sunt o mizerie. Producătorii au scos un număr mare de telefoane diferite și modifică extensiv codul. Google nu poate doar să actualizeze sistemul de operare de pe dispozitivul dvs. - acestea pot pune doar un nou cod și sperăm că producătorul dispozitivului și operatorul dvs. de telefonie mobilă vor face munca grea de a le obține.
În mod tradițional, majoritatea componentelor Android au fost copiate la nivelul sistemului de operare. Aceasta include browserul web încorporat, denumit "Browser". Este important să fie încorporat în sistemul de operare browserul însuși și motorul de randament subiacente. Motorul browser-ului este folosit în fiecare aplicație Android care utilizează un browser Web încorporat, cunoscut sub numele de "WebView".
Acest browser încorporat se bazează pe o versiune veche a WebKit și un defect grav a fost recent descoperit în el și raportatGoogle. Google nu are nici o modalitate de a furniza o actualizare direct utilizatorilor Android pentru a rezolva această problemă.Aceasta trebuie să fie rezolvată printr-o actualizare a sistemului de operare, care necesită lucrătorii și producătorii de dispozitive.
Din păcate, chiar și atunci când Google a lansat codul de actualizare a securității pentru browserul Android 4.3, mulți producători de dispozitive s-ar putea să nu fi transmis chiar corecturile utilizatorilor lor. Singurul grație de salvare este faptul că multe dispozitive Android au livrat cu Google Chrome, iar utilizatorii sunt în siguranță în timp ce utilizează Chrome pe acele dispozitive - dar, din nou, nu în timp ce utilizează alte aplicații cu browsere web încorporate.
Majoritatea utilizatorilor Android sunt blocați, dar Android 4.4 și versiunile mai noi sunt fixe
Google a lucrat la îmbunătățirea actualizărilor Android OS, eliminând mai multe caracteristici din sistemul de operare de bază, astfel încât acestea să poată fi actualizate prin Google Play.În Android 4.4, browserul încorporat poate fi actualizat rapid de producătorii de dispozitive cu un plasture mic.În Android 5.0, browserul este actualizat de Google direct prin Google Play.
Dar mai mult de 60% dintre dispozitive folosesc Android 4.3 și mai mici, conform numerelor proprii ale Google. Google nu a lansat un "patch" pentru Android 4.3, dar, dacă ar fi, ar fi de ajuns să-l telefoneze pe producătorii și pe operatorii de telefonie mobilă.Într-adevăr, Google vede actualizarea dispozitivelor la Android 4.4 ca soluție fixă, iar producătorii de dispozitive ar trebui să lucreze în locul lor.
Nu intenționăm să absolvăm Google aici. Construirea browserului adânc în sistemul de operare astfel încât să nu poată fi actualizată rapid pentru a repara găurile de securitate a fost o decizie groaznică și putem fi recunoscători că au schimbat acum modul în care funcționează versiunile moderne de Android. Producătorii de dispozitive și operatorii de telefonie mobilă merită o mare parte din vină pentru faptul că nu actualizează cu promptitudine dispozitivele. Dacă aveți un telefon cumpărat pe un contract de doi ani, aceștia ar trebui cel puțin să actualizeze dispozitivul cu actualizări de securitate pentru durata contractului!
Cum să rămâi în siguranță pe Android 4.3 și versiunile anterioare
Dar aceasta nu este doar o dezbatere interesantă între Google și profesioniștii din domeniul securității online. Realitatea este că majoritatea utilizatorilor de dispozitive Android folosesc un browser web vulnerabil și este posibil să fiți unul dintre aceștia. Iată ce puteți face pentru a vă asigura cât mai mult posibil:
- Instalați și utilizați un alt browser web : Nu utilizați aplicația "Browser" încorporată pentru a naviga pe web.În schimb, instalați un browser ca Mozilla Firefox sau Google Chrome din Google Play. Chrome funcționează numai pe Android 4.0 și în sus, dar Mozilla Firefox funcționează încă pe Android 2.3 Gingerbread. Aceste browsere includ propriile lor motoare de redare, astfel încât acestea nu utilizează motorul de browser al sistemului. De asemenea, acestea sunt actualizate frecvent prin Google Play. Probabil că veți găsi aceste browsere mai repede decât browser-ul încorporat, dacă aveți oricum un dispozitiv mai vechi cu cod browser încorporat mai vechi!
- Evitați navigarea cu browsere web încorporate : Utilizarea unui browser de la o terță parte nu va rezolva totul, deoarece veți fi în continuare în pericol dacă utilizați un browser web încorporat într-o aplicație - acestea utilizează sistemul "WebView"este vulnerabil. Evitați navigarea cu browsere încorporate dacă aveți o versiune vulnerabilă a Android. Alegeți o aplicație dedicată browserului, cum ar fi Firefox sau Chrome.
Google a recomandat dezvoltatorilor de aplicații Android pachete de motoare de browser în aplicațiile lor pe Android 4.3 și mai devreme. Numai așa se pot asigura că browserele încorporate sunt sigure și securizate. Acesta este un hack murdar în jurul valorii de cod de browser putregai în Android în sine. Este o recomandare destul de nebună, dar dezvoltatorii pot chiar să vrea să ia în considerare acest lucru - mai ales dacă securitatea este deosebit de importantă pentru aplicație.
Deci, cât de mult este un risc, într-adevăr? Ei bine, nu am auzit de cineva care să o exploateze încă.Dar semnalul clar al Google, potrivit căruia 60% din toate dispozitivele Android actuale nu primesc pachete de securitate pentru browser, a fost cu siguranță binevenit pentru atacatori. Ne așteptăm să vedem exploatările browser-ului Android să-și facă drumul în diferite colecții de exploatații de pe piața de masă, deoarece Google abandonând browserul utilizat de majoritatea dispozitivelor Android lasă o gaură care poate fi exploatată fără riscul ca aceștia să remedieze problemele.
Este un pic cam ca problemele de securitate cu încă mai utilizează Windows XP - dacă Windows XP era încă folosit de majoritatea utilizatorilor când a fost abandonat. Da, ecosistemul Android este o mizerie. Ar trebui să fie posibil ca Google să primească actualizări de securitate ale browserului utilizatorilor lor, dar nu este.
