Berta Sándor
Katasztrófális a Google Android-biztonsághoz való hozzáállása
Egy cég komoly biztonsági rést talált az Android 4.3 egyik komponensében, de a Google nem javítja ki, merthogy az már "túl régi".
A Google leállította a WebView nevű Android-komponens támogatását, ezzel pedig nehéz helyzetbe hozott több százmillió felhasználót. Az információt Tod Beardsley, a Rapid7 biztonsági kutatója közölte blogbejegyzésében és felhívta a figyelmet arra, hogy a döntés minden olyan készüléktulajdonost érint, aki Android 4.3 Jelly Bean vagy régebbi operációs rendszert használ. Ez több mint 930 millió eszközt jelent. Android 4.3 operációs rendszer fut az eszközök 6,5; Android 4.2.x a 20,3; míg Android 4.1.x a 19,2 százalékán. Ehhez jön még az Android 4.0.3 és 4.0.4 (6,7 százalék), az Android 2.3.3-2.3.7 (7,8 százalék), valamint az Android 2.2 (0,4 százalék).
A WebView egy olyan komponens, amely a webes tartalmak megjelenítéséért felel és amely a WebKit renderelőmotorra épül. A WebView nemcsak az Android böngészőjében található meg, hanem minden olyan alkalmazásban is, amelyek nem rendelkeznek saját böngészőtechnikával.
"Amennyiben a WebView érintett verziója idősebb, mint a 4.4, akkor nem készítünk hozzá javítást" - idézte a Google egyik munkatársát Beardsley, de azért partnereiket értesítik a problémáról, és azok ha akarnak, módosítják a szoftverüket. A szakember hozzátette, hogy tavaly a Rapid7 két független kutatója, Rafay Baloch és Joe Vennix is talált WebView-hibákat. A társaság csupán a WebView és nem pedig a régebbi Android-változatok esetében állította le a frissítéseket. A Google a Rapid7-nek azzal indokolta a lépést, hogy akkor lehet leginkább szavatolni az Androidot futtató eszközök biztonságát, ha a legújabb Android-verziót telepítik fel rájuk. Mindez egyúttal azt jelenti, hogy ha valakit érdekel a biztonság, akár akár új készüléket kell vásárolnia, ugyanis a legtöbb gyártó, illetve mobilszolgáltató elhanyagolja a frissítést, és csak a legújabb modelljeihez teszi elérhetővé a legújabb Androidot.
Beardsley arra is felhívta a figyelmet, hogy a Google - más nagy cégekkel ellentétben - nem hozta nyilvánosságra az egyes Android-változatok támogatásával vagy életciklusával kapcsolatos irányelveket sem. "Így elvileg a társaság akár már holnap úgy dönthetne, hogy leállítja a KitKat támogatását, ami ugyanakkor öngyilkosság lenne. De a felhasználói tábor 60 százalékát érintő támogatás leállítása is olyan, mint az öngyilkosság. Márpedig most ez történik" - szögezte le Beardsley.
A Google leállította a WebView nevű Android-komponens támogatását, ezzel pedig nehéz helyzetbe hozott több százmillió felhasználót. Az információt Tod Beardsley, a Rapid7 biztonsági kutatója közölte blogbejegyzésében és felhívta a figyelmet arra, hogy a döntés minden olyan készüléktulajdonost érint, aki Android 4.3 Jelly Bean vagy régebbi operációs rendszert használ. Ez több mint 930 millió eszközt jelent. Android 4.3 operációs rendszer fut az eszközök 6,5; Android 4.2.x a 20,3; míg Android 4.1.x a 19,2 százalékán. Ehhez jön még az Android 4.0.3 és 4.0.4 (6,7 százalék), az Android 2.3.3-2.3.7 (7,8 százalék), valamint az Android 2.2 (0,4 százalék).
A WebView egy olyan komponens, amely a webes tartalmak megjelenítéséért felel és amely a WebKit renderelőmotorra épül. A WebView nemcsak az Android böngészőjében található meg, hanem minden olyan alkalmazásban is, amelyek nem rendelkeznek saját böngészőtechnikával.
"Amennyiben a WebView érintett verziója idősebb, mint a 4.4, akkor nem készítünk hozzá javítást" - idézte a Google egyik munkatársát Beardsley, de azért partnereiket értesítik a problémáról, és azok ha akarnak, módosítják a szoftverüket. A szakember hozzátette, hogy tavaly a Rapid7 két független kutatója, Rafay Baloch és Joe Vennix is talált WebView-hibákat. A társaság csupán a WebView és nem pedig a régebbi Android-változatok esetében állította le a frissítéseket. A Google a Rapid7-nek azzal indokolta a lépést, hogy akkor lehet leginkább szavatolni az Androidot futtató eszközök biztonságát, ha a legújabb Android-verziót telepítik fel rájuk. Mindez egyúttal azt jelenti, hogy ha valakit érdekel a biztonság, akár akár új készüléket kell vásárolnia, ugyanis a legtöbb gyártó, illetve mobilszolgáltató elhanyagolja a frissítést, és csak a legújabb modelljeihez teszi elérhetővé a legújabb Androidot.
Beardsley arra is felhívta a figyelmet, hogy a Google - más nagy cégekkel ellentétben - nem hozta nyilvánosságra az egyes Android-változatok támogatásával vagy életciklusával kapcsolatos irányelveket sem. "Így elvileg a társaság akár már holnap úgy dönthetne, hogy leállítja a KitKat támogatását, ami ugyanakkor öngyilkosság lenne. De a felhasználói tábor 60 százalékát érintő támogatás leállítása is olyan, mint az öngyilkosság. Márpedig most ez történik" - szögezte le Beardsley.