szukaj

13.01.2015 | 11:04

avatar

Adam Haertle

Google nie załata części krytycznych luk w starszych wersjach Androida

Według badaczy, którzy znaleźli luki w ważnym komponencie WebView, Google poinformowało, że nie wypuści aktualizacji dla Androida starszego niż 4.4. Oznacza to brak wsparcia dla ok. 60% użytkowników platformy (ponad 900 mln urządzeń).

Ogromne rozdrobnienie wersji Androida jest poważnym problemem dla Google i niestety także dla użytkowników tego systemu. Wygląda na to, że Google powoli przestaje oferować aktualizacje bezpieczeństwa dla starszych wersji systemu, narażając na niebezpieczeństwo miliony użytkowników.

Luki w WebView

WebView to kluczowy komponent Androida. Umożliwia on programistom proste wyświetlanie stron WWW wewnątrz aplikacji. Jest to rozwiązanie rekomendowane przez Google i używane w niezliczonych programach. Każdy błąd w nim odkryty automatycznie oznacza poważne zagrożenie dla użytkowników, ponieważ do jego wykorzystania z reguły wystarczy wyświetlenie odpowiednio spreparowanej witryny.

Dwaj badacze – Rafay Baloch oraz Joe Vennix wspólnie zgłosili istnienie wielu błędów w tym komponencie. W obecnej wersji narzędzia Metasploit znajduje się 11 różnych exploitów na WebView w wersji 4.3 lub wcześniejszej. Niestety w komunikacji z badaczami Google poinformowało, że nie planuje już wypuszczać aktualizacji tego komponentu dla wersji wcześniejszych niż 4.4. Co prawda może wprowadzić aktualizacje, ale tylko w wypadku, gdy otrzyma od kogoś gotowe łaty.

Stary komponent to niewspierany komponent

Od Androida 4.4 Google zmieniło komponent WebView, wprowadzając mechanizmy wykorzystywane w przeglądarce Chrome. Oznacza to, że wszystkie urządzenia wyprodukowane do ok. października 2013 (oraz spora część późniejszych, których producenci postanowili korzystać z Androida 4.3 lub starszego) pozostaną podatne na odnalezione błędy bez większych szans na ich aktualizację. Informacje od Google wskazują, że problem ten dotyczy ponad 60% urządzeń znajdujących się obecnie w użyciu.

Aktualny poziom fragmentacji Androida

Aktualny poziom fragmentacji Androida

Co ciekawe Google wyjaśniło, że inne komponenty systemu znajdujące się w starszych wersjach Androida będą nadał wspierane i będą otrzymywały potrzebne aktualizacje. Decyzja Google wiąże się prawdopodobnie z projektem odejścia od przeglądarki Android Browser w stronę wspierania wyłącznie Google Chrome również w platformach mobilnych. Niestety może to oznaczać, że wraz ze wzrostem ruchu internetowego pochodzącego z urządzeń mobilnych (w godzinach porannych ponad 50% Czytelników Z3S korzysta z mobilnej wersji strony) mnożyć się będą także ataki na dostępne podatności, a posiadacze starszych telefonów z Androidem zajmą stałe miejsce wśród najczęstszych ofiar przestępców.

Mam Androida starszego niż 4.4, co robić?

Niestety nie mamy prostej odpowiedzi innej niż wymienić telefon na taki, na którym dostępny jest co najmniej KitKat (4.4). Przepaść cenowa między najprostszymi smartfonami a najnowszymi modelami jest ogromna, zatem możemy się spodziewać, że większość użytkowników pozostanie jeszcze przez jakiś czas przy starszych modelach i wersjach systemu. Pozostaje mieć nikłą nadzieję, że Google jeszcze zmieni zdanie.

Powrót

Komentarze

  • avatar
    2015.01.13 11:16 Dodzik

    Niestety, ale to częściowo nie wina Google. To Samsung, HTC, LG i wszystkie inne firmy produkujące smartfony z Androidem zaprzestają aktualizowania zaraz jak telefon zostanie wypuszczony na rynek. Przecież lepiej wypuścić nowy model Galaxy S4 zamiast zaktualizować Androida na S3.

    Odpowiedz
  • avatar
    2015.01.13 11:22 kayo

    95% z tych 60% nawet nie będzie wiedziała o błędzie, jak już usłyszą to wzruszą tylko ramionami.

    Odpowiedz
    • avatar
      2015.01.13 11:24 Adam

      77% tych statystyk jest wyssanych z palca ;)

      Odpowiedz
      • avatar
        2015.01.13 13:40 BiałuMurzynu

        80% ssanych paluchów nie było wcześniej umytych.

        Odpowiedz
        • avatar
          2015.01.14 11:37 Jerema

          99% facetów dotykała ding-donga innego faceta poprzez chwycenie klamki w kiblu. Jestem przekonany, że 100% będzie się teraz nad tym zastanawiała za każdym razem jak bedzię wychodzić z kibla. Świat od teraz będzie wyglądał inaczej dla wielu.

          Odpowiedz
          • avatar
            2015.01.14 23:55 husher_

            63% ludzi zastanawia się czemu offtopujemy..

  • avatar
    2015.01.13 11:30 Piotr

    Jest jedno, tymczasowe rozwiązanie(niebezpieczne!)

    Należy wyłączyć moduł „Przeglądarka HTML” – aplikacje mogą przestać działać, ROMy mogą sypać błedami. No i czekać do momentu wypuszczenia łatki przez CM czy innych grup.

    Odpowiedz
  • avatar
    2015.01.13 11:35 ja

    A czepiali się hipokryci z google, że microsoft nie zrobił łatki.

    Odpowiedz
    • avatar
      2015.01.13 12:32 kez87

      Mówiąc krótko – „łatajcie sobie sami”.To zaufanie do Google na podstawie plakaciku „don’t be evil” jest chyba przesadzone. Sam fakt,że w swoim własnym systemie nie ma się dostępu do roota bez kombinowania z zewnętrznymi aplikacjami zwyczajnie śmierdzi.Zresztą,akurat osobiście nie używam smartfona. I jakoś nie miałem kasy i stary samsung za 60 zł z marketu jako komórka sprawdza się całkiem nieźle,choć oczywiście jakbym miał np. Niemiecką Nokię 1100 byłoby ciekawiej…

      Odpowiedz
  • avatar
    2015.01.13 14:49 Adam

    To chyba niewiele zmienia? Nie jest tak, że to producent wypuszcza aktualizację niezależnie od google? Nawet jak google zaktualizuje androida bo jeszcze po drodze do użytkownika jest producent, który zwykle nie wypuszcza aktualizacji do kilkuletnich telefonów, nie tak to działa?

    Odpowiedz
  • avatar
    2015.01.13 17:36 urzytkownig

    Ja mam proste rozwiązanie. Nie robić z siebie takiego nowoczesnego i używać telefonu do takich celów – do których został stworzony. Czyli sms’owanie i dzwonienie. Mam Galaxy Ace i myślę, że przez następne 2 lata go nie zmienie puki się nie rozsypie. Nie mam aktywnego wifi ani 3G do łączenia się z internetem. Litości. Musicie koniecznie zaglądać na fejsa w tramwaju jadąc do pracy?

    Odpowiedz
    • avatar
      2015.01.14 10:29 Janusz

      „Każda pliszka swój ogonek chwali”

      Gościu, nie po to mam pakietówkę w telefonie, żeby z niej nie korzystać. Nie każdy używa smartfona do Facebooka z rana, mi droga do pracy wystarcza, żeby zapoznać się z.interesującymi tematami i odpisywać na głupie komentarze.

      Odpowiedz
  • avatar
    2015.01.13 17:57 Paweł

    Rozwiązanie akurat w wielu przypadkach istnieje, przynajmniej dla bardziej „ogarniętych” użytkowników – samodzielne zaktualizowanie do custom ROMa, zwykle niezbyt trudne do przeprowadzenia z instrukcją krok po kroczku. Tylko trzeba poszukać niestety.

    Odpowiedz
    • avatar
      2015.01.13 19:48 Gold

      Albo sportować samemu tak jak ja dla siebie :p.

      Odpowiedz
  • avatar
    2015.01.13 19:22 Uki

    Uzyskanie roota > custom recovery > custom rom to był problem 2 lata temu. Teraz zazwyczaj wystarczy „one click”. Choćby aplikacje towelroot stumproot apk z poziomu telefonu. Fajne ze mozesz sobie wgac chocby stock minus bloatware.

    Odpowiedz
  • avatar
    2015.01.14 08:06 edi

    A czy wcześniejszą lukę którą odkryli w/w badacze w WebView CVE-2014-6041 Google załatało przez OTA czy Google Play Services?

    Odpowiedz
  • avatar
    2015.01.14 15:23 ekk

    Mam HTC Desire z Androidem 4.4 (BeanStalk). Co pokazuje, że skoro telefon jest dobry, to wcale nie trzeba go wymieniać. Wystarczy zmiana romu.

    Odpowiedz
  • avatar
    2015.01.14 20:22 kasper93

    Co z tego, że google wypuści aktualizację bezpieczeństwa dla starszych systemów jak producenci telefonów i tak mają je gdzieś i starsze modele nie dostaną, żadnej aktualizacji.

    Odpowiedz
  • avatar
    2015.01.18 02:05 max.kolanko

    natura prozni nie lubi. np takie andruino i temu podobne, maja wielki potencjal. mozna sie uniezaleznic… anten wszedzie pelno. sygnal mozna slac i slac… w sina dal. nosna, lustra i protokoly okraszone hexem…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Google nie załata części krytycznych luk w starszych wersjach Androida

Komentarze