Według badaczy, którzy znaleźli luki w ważnym komponencie WebView, Google poinformowało, że nie wypuści aktualizacji dla Androida starszego niż 4.4. Oznacza to brak wsparcia dla ok. 60% użytkowników platformy (ponad 900 mln urządzeń).
Ogromne rozdrobnienie wersji Androida jest poważnym problemem dla Google i niestety także dla użytkowników tego systemu. Wygląda na to, że Google powoli przestaje oferować aktualizacje bezpieczeństwa dla starszych wersji systemu, narażając na niebezpieczeństwo miliony użytkowników.
Luki w WebView
WebView to kluczowy komponent Androida. Umożliwia on programistom proste wyświetlanie stron WWW wewnątrz aplikacji. Jest to rozwiązanie rekomendowane przez Google i używane w niezliczonych programach. Każdy błąd w nim odkryty automatycznie oznacza poważne zagrożenie dla użytkowników, ponieważ do jego wykorzystania z reguły wystarczy wyświetlenie odpowiednio spreparowanej witryny.
Dwaj badacze – Rafay Baloch oraz Joe Vennix wspólnie zgłosili istnienie wielu błędów w tym komponencie. W obecnej wersji narzędzia Metasploit znajduje się 11 różnych exploitów na WebView w wersji 4.3 lub wcześniejszej. Niestety w komunikacji z badaczami Google poinformowało, że nie planuje już wypuszczać aktualizacji tego komponentu dla wersji wcześniejszych niż 4.4. Co prawda może wprowadzić aktualizacje, ale tylko w wypadku, gdy otrzyma od kogoś gotowe łaty.
Stary komponent to niewspierany komponent
Od Androida 4.4 Google zmieniło komponent WebView, wprowadzając mechanizmy wykorzystywane w przeglądarce Chrome. Oznacza to, że wszystkie urządzenia wyprodukowane do ok. października 2013 (oraz spora część późniejszych, których producenci postanowili korzystać z Androida 4.3 lub starszego) pozostaną podatne na odnalezione błędy bez większych szans na ich aktualizację. Informacje od Google wskazują, że problem ten dotyczy ponad 60% urządzeń znajdujących się obecnie w użyciu.
Co ciekawe Google wyjaśniło, że inne komponenty systemu znajdujące się w starszych wersjach Androida będą nadał wspierane i będą otrzymywały potrzebne aktualizacje. Decyzja Google wiąże się prawdopodobnie z projektem odejścia od przeglądarki Android Browser w stronę wspierania wyłącznie Google Chrome również w platformach mobilnych. Niestety może to oznaczać, że wraz ze wzrostem ruchu internetowego pochodzącego z urządzeń mobilnych (w godzinach porannych ponad 50% Czytelników Z3S korzysta z mobilnej wersji strony) mnożyć się będą także ataki na dostępne podatności, a posiadacze starszych telefonów z Androidem zajmą stałe miejsce wśród najczęstszych ofiar przestępców.
Mam Androida starszego niż 4.4, co robić?
Niestety nie mamy prostej odpowiedzi innej niż wymienić telefon na taki, na którym dostępny jest co najmniej KitKat (4.4). Przepaść cenowa między najprostszymi smartfonami a najnowszymi modelami jest ogromna, zatem możemy się spodziewać, że większość użytkowników pozostanie jeszcze przez jakiś czas przy starszych modelach i wersjach systemu. Pozostaje mieć nikłą nadzieję, że Google jeszcze zmieni zdanie.
Komentarze
Niestety, ale to częściowo nie wina Google. To Samsung, HTC, LG i wszystkie inne firmy produkujące smartfony z Androidem zaprzestają aktualizowania zaraz jak telefon zostanie wypuszczony na rynek. Przecież lepiej wypuścić nowy model Galaxy S4 zamiast zaktualizować Androida na S3.
95% z tych 60% nawet nie będzie wiedziała o błędzie, jak już usłyszą to wzruszą tylko ramionami.
77% tych statystyk jest wyssanych z palca ;)
80% ssanych paluchów nie było wcześniej umytych.
99% facetów dotykała ding-donga innego faceta poprzez chwycenie klamki w kiblu. Jestem przekonany, że 100% będzie się teraz nad tym zastanawiała za każdym razem jak bedzię wychodzić z kibla. Świat od teraz będzie wyglądał inaczej dla wielu.
63% ludzi zastanawia się czemu offtopujemy..
Jest jedno, tymczasowe rozwiązanie(niebezpieczne!)
Należy wyłączyć moduł „Przeglądarka HTML” – aplikacje mogą przestać działać, ROMy mogą sypać błedami. No i czekać do momentu wypuszczenia łatki przez CM czy innych grup.
A czepiali się hipokryci z google, że microsoft nie zrobił łatki.
Mówiąc krótko – „łatajcie sobie sami”.To zaufanie do Google na podstawie plakaciku „don’t be evil” jest chyba przesadzone. Sam fakt,że w swoim własnym systemie nie ma się dostępu do roota bez kombinowania z zewnętrznymi aplikacjami zwyczajnie śmierdzi.Zresztą,akurat osobiście nie używam smartfona. I jakoś nie miałem kasy i stary samsung za 60 zł z marketu jako komórka sprawdza się całkiem nieźle,choć oczywiście jakbym miał np. Niemiecką Nokię 1100 byłoby ciekawiej…
To chyba niewiele zmienia? Nie jest tak, że to producent wypuszcza aktualizację niezależnie od google? Nawet jak google zaktualizuje androida bo jeszcze po drodze do użytkownika jest producent, który zwykle nie wypuszcza aktualizacji do kilkuletnich telefonów, nie tak to działa?
Tutaj masz infografikę jak to mniej więcej przebiega https://i.imgur.com/wfE32Hy.jpg
Ja mam proste rozwiązanie. Nie robić z siebie takiego nowoczesnego i używać telefonu do takich celów – do których został stworzony. Czyli sms’owanie i dzwonienie. Mam Galaxy Ace i myślę, że przez następne 2 lata go nie zmienie puki się nie rozsypie. Nie mam aktywnego wifi ani 3G do łączenia się z internetem. Litości. Musicie koniecznie zaglądać na fejsa w tramwaju jadąc do pracy?
„Każda pliszka swój ogonek chwali”
Gościu, nie po to mam pakietówkę w telefonie, żeby z niej nie korzystać. Nie każdy używa smartfona do Facebooka z rana, mi droga do pracy wystarcza, żeby zapoznać się z.interesującymi tematami i odpisywać na głupie komentarze.
Rozwiązanie akurat w wielu przypadkach istnieje, przynajmniej dla bardziej „ogarniętych” użytkowników – samodzielne zaktualizowanie do custom ROMa, zwykle niezbyt trudne do przeprowadzenia z instrukcją krok po kroczku. Tylko trzeba poszukać niestety.
Albo sportować samemu tak jak ja dla siebie :p.
Uzyskanie roota > custom recovery > custom rom to był problem 2 lata temu. Teraz zazwyczaj wystarczy „one click”. Choćby aplikacje towelroot stumproot apk z poziomu telefonu. Fajne ze mozesz sobie wgac chocby stock minus bloatware.
A czy wcześniejszą lukę którą odkryli w/w badacze w WebView CVE-2014-6041 Google załatało przez OTA czy Google Play Services?
Mam HTC Desire z Androidem 4.4 (BeanStalk). Co pokazuje, że skoro telefon jest dobry, to wcale nie trzeba go wymieniać. Wystarczy zmiana romu.
Co z tego, że google wypuści aktualizację bezpieczeństwa dla starszych systemów jak producenci telefonów i tak mają je gdzieś i starsze modele nie dostaną, żadnej aktualizacji.
natura prozni nie lubi. np takie andruino i temu podobne, maja wielki potencjal. mozna sie uniezaleznic… anten wszedzie pelno. sygnal mozna slac i slac… w sina dal. nosna, lustra i protokoly okraszone hexem…