Tämä ongelma on korjattu Android 4.4: ssa ja 5.0: ssa, mutta yli 60 prosenttia Android-laitteista on jumissa laitteissa, jotka eivät saa suojauskorjauksia.
Miksi Google ei korjaa Android 4.3: n selainta enää
Android-käyttöjärjestelmän päivitykset ovat sotku. Valmistajat laittavat valtavan määrän eri puhelimia ja muokkaavat koodia laajasti. Google ei voi vain päivittää laitteen käyttöjärjestelmää - ne voivat laittaa vain uuden koodin ja toivovat laitteen valmistajan ja matkapuhelinoperaattoriesi kovaa työtä saada se sinulle.
Perinteisesti useimmat Android-komponentit on paistettu käyttöjärjestelmän tasolla. Tämä sisältää sisäänrakennetun selaimen nimeltä "Browser". Tärkeää on, että selain ja sen taustalla oleva renderointimoottori on rakennettu käyttöjärjestelmään. Selaimella käytetään jokaista Android-sovellusta, joka käyttää upotettua verkkoselainta, joka tunnetaan nimellä "WebView".
Tämä sisäänrakennettu selain perustuu vanhaan WebKit-versioon, ja siinä on äskettäin löydetty vakava virhe ja raportoitu Googlelle. Google ei voi tarjota päivitystä suoraan Android-käyttäjille ongelman korjaamiseksi. Se on korjattava käyttöjärjestelmän päivityksen kautta, mikä edellyttää, että laitevalmistajat ja operaattorit tekevät työn.
Valitettavasti, vaikka Google julkaisi Android 4.3: n selaimen tietoturvapäivityskoodin, monet laitevalmistajat eivät välttämättä ole toimittaneet korjauksia käyttäjilleen. Ainoa säästämisen armo on se, että monet Android-laitteet ovat lähettäneet Google Chromen ja käyttäjät ovat turvallisia käyttäessään Chromen näitä laitteita - mutta toisaalta, kun käytät muita sovelluksia, joissa on upotettuja web-selaimia.
Useimmat Android-käyttäjät ovat särkyneet, mutta Android 4.4 ja uudemmat ovat korjattuja
Google on työskennellyt siitä, että Android-käyttöjärjestelmän päivityksiä tehdään vähemmän, murskaamalla enemmän ominaisuuksia ydin-käyttöjärjestelmästä, jotta ne voidaan päivittää Google Playn kautta. Android 4.4: ssa laitevalmistajat voivat päivittää nopeasti sisäänrakennetun selaimen pienellä laastarilla. Android 5.0: ssa Google päivittää selainta suoraan Google Playn kautta.
Mutta yli 60 prosenttia laitteista käyttää Android 4.3: aa ja alempaa Googlein omien numeroiden mukaan. Google ei ole julkaissut "korjaustiedostoa" Android 4.3: lle, mutta - jos he tekisivät - se olisi puhelinvalmistajien ja matkapuhelinoperaattoreiden kanssa. Todellisuudessa Google näkee laitteiden päivittämisen Android 4.4: een korjauksena, ja laitevalmistajien pitäisi työskennellä sen sijaan.
Emme tarkoita vapauttaa Googlea täällä. Selaimen rakentaminen syvälle käyttöjärjestelmään, joten sitä ei voi päivittää nopeasti tietoturva-aukkojen korjaamiseksi. Se oli kauhea päätös, ja voimme vain olla kiitollisia siitä, että he ovat nyt muuttaneet Androidin nykyaikaisempia versioita. Laitevalmistajat ja matkapuhelinoperaattorit ansaitsevat paljon syytä siihen, ettei laitteita päivitetä nopeasti. Jos puhelimesi on ostettu kahden vuoden sopimuksessa, sen on ainakin päivitettävä laite tietoturvapäivityksillä sopimuksen pituudesta.
Kuinka pysyä turvassa Android 4.3: ssa ja uudemmissa versioissa
Mutta tämä ei ole vain mielenkiintoinen keskustelu Googlen ja turvallisuusalan ammattilaisten välillä. Tosiasia on, että useimmat Android-käyttäjät käyttävät haavoittuvaa verkkoselainta, ja saatat olla yksi niistä. Tässä voit tehdä pysyä mahdollisimman turvallisena:
- Asenna ja käytä eri verkkoselainta: Älä käytä sisäänrakennettua "Selain" -sovellusta selataksesi verkkoa. Sen sijaan asenna selain, kuten Mozilla Firefox tai Google Chrome Google Playsta. Chrome toimii vain Android 4.0: ssa ja uudemmassa, mutta Mozilla Firefox toimii edelleen Android 2.3 Gingerbread -versiolla. Näissä selaimissa on omat renderointimoottorit, joten he eivät käytä järjestelmän selainkonetta. Heitä päivitetään myös usein Google Playin kautta. Luultavasti löydät nämä selaimet nopeammin kuin sisäänrakennettu selain, jos sinulla on vanhempi laite, jolla on vanhempi sisäänrakennettu selainkoodi, joka tapauksessa!
- Vältä selaamista upotetuilla selaimilla: Käyttämällä kolmannen osapuolen selainta ei korjata kaikkea, koska sinulla on edelleen riski, jos käytät sulautettua verkkoselainta sovelluksessa - nämä käyttävät järjestelmän "WebView" -ohjelmaa, joka on haavoittuva. Vältä selaamista upotetuilla selaimilla, jos sinulla on haavoittuva Android-versio. Pysykää omistettuun selaintisovellesi, kuten Firefoxiin tai Chromeon.
Google itse asiassa suositteli, että Android-sovellusten kehittäjät niputtavat selaimimoottoreita Android 4.3: n ja aiempien sovellusten sovelluksissa. Tämä on ainoa tapa, jolla he voivat varmistaa, että heidän sisäänrakennetut selaimet ovat turvallisia ja turvallisia. Tämä on likainen hakkerointi Android-mullina olevan selaimen koodin ympärillä. Se on aika hullu suositus, mutta kehittäjät voivat itse asiassa harkita tätä - varsinkin jos suojaus on erityisen tärkeä sovellukselle.
Joten kuinka suuri riski on tämä, todella? Emme ole vielä kuullut kenenkään hyödyntäneen sitä. Mutta Googlen selkeä merkki siitä, että 60 prosenttia kaikista nykyisistä Android-laitteista ei saa selainpohjaisia suojauspäivityksiä, on varmasti ollut hyökkääjiä.Odotamme, että Android-selaimen hyö- dykyt päätyvät erilaisiin hyö- dykemarkkinoihin, sillä Google luopuu useimmista Android-laitteissa käytetystä selaimesta. Se jättää aukon, joka voidaan vapaasti hyödyntää ilman riskiä, että korjaukset korjaavat ongelmat.
Se on vähän kuin tietoturvaongelmia, joissa vielä käytetään Windows XP: tä - jos useimmat käyttäjät käyttävät Windows XP: tä edelleen, kun se hylättiin. Kyllä, Android-ekosysteemi on sotku. Googlen pitäisi voida saada selaimen tietoturvapäivitykset käyttäjilleen, mutta se ei ole mahdollista.
