Google nie załata części krytycznych luk w starszych wersjach Androida

dodał 13 stycznia 2015 o 11:04 w kategorii Info  z tagami:
Google nie załata części krytycznych luk w starszych wersjach Androida

Według badaczy, którzy znaleźli luki w ważnym komponencie WebView, Google poinformowało, że nie wypuści aktualizacji dla Androida starszego niż 4.4. Oznacza to brak wsparcia dla ok. 60% użytkowników platformy (ponad 900 mln urządzeń).

Ogromne rozdrobnienie wersji Androida jest poważnym problemem dla Google i niestety także dla użytkowników tego systemu. Wygląda na to, że Google powoli przestaje oferować aktualizacje bezpieczeństwa dla starszych wersji systemu, narażając na niebezpieczeństwo miliony użytkowników.

Luki w WebView

WebView to kluczowy komponent Androida. Umożliwia on programistom proste wyświetlanie stron WWW wewnątrz aplikacji. Jest to rozwiązanie rekomendowane przez Google i używane w niezliczonych programach. Każdy błąd w nim odkryty automatycznie oznacza poważne zagrożenie dla użytkowników, ponieważ do jego wykorzystania z reguły wystarczy wyświetlenie odpowiednio spreparowanej witryny.

Dwaj badacze – Rafay Baloch oraz Joe Vennix wspólnie zgłosili istnienie wielu błędów w tym komponencie. W obecnej wersji narzędzia Metasploit znajduje się 11 różnych exploitów na WebView w wersji 4.3 lub wcześniejszej. Niestety w komunikacji z badaczami Google poinformowało, że nie planuje już wypuszczać aktualizacji tego komponentu dla wersji wcześniejszych niż 4.4. Co prawda może wprowadzić aktualizacje, ale tylko w wypadku, gdy otrzyma od kogoś gotowe łaty.

Stary komponent to niewspierany komponent

Od Androida 4.4 Google zmieniło komponent WebView, wprowadzając mechanizmy wykorzystywane w przeglądarce Chrome. Oznacza to, że wszystkie urządzenia wyprodukowane do ok. października 2013 (oraz spora część późniejszych, których producenci postanowili korzystać z Androida 4.3 lub starszego) pozostaną podatne na odnalezione błędy bez większych szans na ich aktualizację. Informacje od Google wskazują, że problem ten dotyczy ponad 60% urządzeń znajdujących się obecnie w użyciu.

Aktualny poziom fragmentacji Androida

Aktualny poziom fragmentacji Androida

Co ciekawe Google wyjaśniło, że inne komponenty systemu znajdujące się w starszych wersjach Androida będą nadał wspierane i będą otrzymywały potrzebne aktualizacje. Decyzja Google wiąże się prawdopodobnie z projektem odejścia od przeglądarki Android Browser w stronę wspierania wyłącznie Google Chrome również w platformach mobilnych. Niestety może to oznaczać, że wraz ze wzrostem ruchu internetowego pochodzącego z urządzeń mobilnych (w godzinach porannych ponad 50% Czytelników Z3S korzysta z mobilnej wersji strony) mnożyć się będą także ataki na dostępne podatności, a posiadacze starszych telefonów z Androidem zajmą stałe miejsce wśród najczęstszych ofiar przestępców.

Mam Androida starszego niż 4.4, co robić?

Niestety nie mamy prostej odpowiedzi innej niż wymienić telefon na taki, na którym dostępny jest co najmniej KitKat (4.4). Przepaść cenowa między najprostszymi smartfonami a najnowszymi modelami jest ogromna, zatem możemy się spodziewać, że większość użytkowników pozostanie jeszcze przez jakiś czas przy starszych modelach i wersjach systemu. Pozostaje mieć nikłą nadzieję, że Google jeszcze zmieni zdanie.