Berta Sándor

Katasztrófális a Google Android-biztonsághoz való hozzáállása

Egy cég komoly biztonsági rést talált az Android 4.3 egyik komponensében, de a Google nem javítja ki, merthogy az már "túl régi".

A Google leállította a WebView nevű Android-komponens támogatását, ezzel pedig nehéz helyzetbe hozott több százmillió felhasználót. Az információt Tod Beardsley, a Rapid7 biztonsági kutatója közölte blogbejegyzésében és felhívta a figyelmet arra, hogy a döntés minden olyan készüléktulajdonost érint, aki Android 4.3 Jelly Bean vagy régebbi operációs rendszert használ. Ez több mint 930 millió eszközt jelent. Android 4.3 operációs rendszer fut az eszközök 6,5; Android 4.2.x a 20,3; míg Android 4.1.x a 19,2 százalékán. Ehhez jön még az Android 4.0.3 és 4.0.4 (6,7 százalék), az Android 2.3.3-2.3.7 (7,8 százalék), valamint az Android 2.2 (0,4 százalék).

A WebView egy olyan komponens, amely a webes tartalmak megjelenítéséért felel és amely a WebKit renderelőmotorra épül. A WebView nemcsak az Android böngészőjében található meg, hanem minden olyan alkalmazásban is, amelyek nem rendelkeznek saját böngészőtechnikával.

"Amennyiben a WebView érintett verziója idősebb, mint a 4.4, akkor nem készítünk hozzá javítást" - idézte a Google egyik munkatársát Beardsley, de azért partnereiket értesítik a problémáról, és azok ha akarnak, módosítják a szoftverüket. A szakember hozzátette, hogy tavaly a Rapid7 két független kutatója, Rafay Baloch és Joe Vennix is talált WebView-hibákat. A társaság csupán a WebView és nem pedig a régebbi Android-változatok esetében állította le a frissítéseket. A Google a Rapid7-nek azzal indokolta a lépést, hogy akkor lehet leginkább szavatolni az Androidot futtató eszközök biztonságát, ha a legújabb Android-verziót telepítik fel rájuk. Mindez egyúttal azt jelenti, hogy ha valakit érdekel a biztonság, akár akár új készüléket kell vásárolnia, ugyanis a legtöbb gyártó, illetve mobilszolgáltató elhanyagolja a frissítést, és csak a legújabb modelljeihez teszi elérhetővé a legújabb Androidot.

Beardsley arra is felhívta a figyelmet, hogy a Google - más nagy cégekkel ellentétben - nem hozta nyilvánosságra az egyes Android-változatok támogatásával vagy életciklusával kapcsolatos irányelveket sem. "Így elvileg a társaság akár már holnap úgy dönthetne, hogy leállítja a KitKat támogatását, ami ugyanakkor öngyilkosság lenne. De a felhasználói tábor 60 százalékát érintő támogatás leállítása is olyan, mint az öngyilkosság. Márpedig most ez történik" - szögezte le Beardsley.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Dodo55 #21
    Egy fix driver model kéne, a gyártókat kötelezni, hogy az összes hw komponens driver forrása ott legyen egy külön partíción a készülékekben, meg hasonlóképp egy system builder, ami egy bármilyen sd kártyáról betallózott, készülékfüggetlen android image-be ezeket szépen belefordítja és felhúzza a rendszert.

    Ha ezt bevezetnék, onnantól mi is ugyanúgy szarhatnánk a gyártók fejére, ahogy ők szarnak a miénkre.
  • torreadorz #20
    Amúgy ez baromira nem eu hatáskör. Mondom, már a powered by android felirat elhelyezkedése és mérete is meg van határozva a google által a gyártóknak (kötelezően)
    http://napidroid.hu/kotelezo-lett-a-powered-by-android-felirat/

    Szóval lenne ráhatása a google-nek csak épp szarik bele a biztonságba.
  • torreadorz #19
    Igen én állítom. Tudnál hivatkozást adni arra hogy pl. a 4.4 az egy service pack?
    Tudniillik alapból ha bármelyik szofvergyártó kiad egy új verziót a termékéből és nem mondja rá azt hogy az márpedig csak egy service pack, akkor az bizony egy új verzió lesz.

    Persze lehet hogy én tévedek de én sehol nem olvastam arról hogy az android 4.4 az csak egy service pack lenne. Ennyi.
  • Lokker #18
    A mai világban mi az ami nem arról szól, hogy "vegyél-vegyél és vegyél"?
  • Elemir #17
    Egyszer elérjük, h a sok "divat-droid" fun rájöjjön erre a folyamatos átkúrásra.
    Minden arra szolgál, h vegyél-vegyél és vegyél...

    Sebaj, csak így tovább google :)
    Utoljára szerkesztette: Elemir, 2015.01.18. 16:17:15
  • Narxis #16
    Mi az, hogy nem service pack jellegű? Ki állítja ezt? Te? És akkor mi van ha nevet adott neki? A kitkat-ból még pénzt is kapott, marketing az egész.

    A Google nem sokat tud tenni, de ha tenne is akkor menne a sírás. Az EU-nak kéne odacsapni, hogy minden dobozra írják rá a támogatás időtartamát.
  • Papichulo #15
    Hozzateszem a microsoft sem ad ki regi service pack-ekhez biztonsagi frissiteseket. Az apple sem, ott is csak teljes rendszert lehet frissiteni[...]

    Vagy nem... most decemberben meg mindig jott ki update a ket evvel ezelott Mountain Lionhoz (10.8) vagy akar szeptemberben a harom eves Lionhoz (10.7), mikozben mar a Yosemite is ki lett adva (10.10). Nezelodj itt!

    ez persze azt is jelenti, hogy ami bevalt azon ne valtoztass, nem veletlen adtak ingyen a legtobb frissitest

    A legtobb frissitest sajnos penzert adtak... amugy meg gyakran nagyobb valtozasok voltak az OSX "point release"-ek kozott, mint a Windows vagy bizonyos Linux distro major release-ek kozott, ez egyszeruen egy ilyen naming convention, nem kell sokat belegondolni ebbe.

    ps: "macos" vagy "macosx" mar nincs, OSX a becsuletes neve.
  • kvp #14
    A patch publikus, tehat ha valamelyik gyarto fel akarja rakni a regebbi rendszeret futtato telefonra megteheti. A google viszont nem ad ki biztonsagi frissiteseket a korabbi rendszerre, mivel ennyi erovel a gyartok akar az ujabbat is fel tudnak rakni.

    Tehat a lenyeg, hogy a google javaslata az, hogy minden gyarto frissitse a 4.3-as (es korabbi 4.x-es) telefonjait 4.4-esre, mert a hardverkovetelmeny nem valtozott. Hozzateszem a microsoft sem ad ki regi service pack-ekhez biztonsagi frissiteseket. Az apple sem, ott is csak teljes rendszert lehet frissiteni, tehat vagy felrakja a felhasznalo az uj ios-t vagy nem. A google is ezt mondja, rakja fel mindenki a 4.4-est es kesz. (amenyik gyarto ezt nem akarja megtenni, az a 4.3-asra sem hozna ki biztonsagi frissitest)

    ps: A nevek jo kerdes, de a macosx-bol meg mindig a 10.x-es verzioknal tartunk, tehat minden uj macos az utobbi 14 evben csak service pack volt. (ez persze azt is jelenti, hogy ami bevalt azon ne valtoztass, nem veletlen adtak ingyen a legtobb frissitest)
  • Papichulo #13
    Tulajdnonkeppen a Google barmilyen regi android valtozaton meg tudja jeleniteni a hirdeteseit... szamukra pedig ez a legfontosabb :)
  • Lokker #12
    Legalább nem hajlik félbe a zsebemben. ;)