Image
16.1.2015 0 Comments

Viac ako miliarda androidových zariadení je deravá, ale Google neplánuje dieru zaplátať

android_secure.jpg Google bol nedávno kritizovaný za to, že zverejnil bezpečnostnú chybu v systéme Windows ešte pred tým, ako Microsoft vydal jej opravu, a teraz sa sám ocitol pod paľbou kritiky pre svoj prístup k aktualizácii vlastného softvéru.

A nie je to po prvýkrát. Chyba bol totiž objavená vo vstavanom komponente webového prehliadača WebView v Androide 4.3 a nižších verziách. Znamená to, že systém možno napadnúť cez webový prehliadač. A to isté platí aj pre aplikácie, ktoré zobrazujú nejaký kód HTML a používajú tento komponent.

Chyba sa netýka novších verzií Android 4.4 a 5.0, pretože tie pre WebView používajú renderovací engine Blink, a nie WebKit. No podľa vlastných štatistík Googlu zhruba až 60 % používateľov Androidu má verziu 4.3 alebo nižšiu. Ide teda o veľmi rozšírenú chybu. Normálny postup by bol taký, že Google po nahlásení chyby pripraví opravu a zverejní ju v rámci Android Open Source Project (AOSP). No v tomto prípade to tak nie je.

Podľa vyjadrenia Googlu, ak je postihnutá verzia (WebView) staršia ako 4.4, väčšinou nevyvíja opravy on, ale si ju musia zabezpečiť sami výrobcovia telefónov. Inými slovami, Google dal OEM výrobcom najavo, že o riešenie problému nemá záujem. No ak bude oprava k dispozícii, rád ju poskytne partnerom v rámci AOSP.

Androidoví vývojári na to odpovedali, že na niektoré komponenty Androidu 4.3, ako sú napr. prehrávače médií, síce vyvíjajú opravy, ale WebView patrí Googlu. Zdá sa, že hoci Google nemá jasné zásady určujúce životnosť jeho softvéru, Android 4.3 zrejme dosiahol tento limit. WebView používaný vo väčšine androidových telefónov, aj v tých novo predávaných, už nie je podporovaný.

Samozrejme, keby Google vytvoril opravu na chybu v Androide 4.3, bol by to len prvý krok. OEM výrobcovia by ju museli zapracovať do svojho firmvéru a mobilní operátori by museli overiť a prispôsobiť aktualizácie firmvéru. Preto je pravdepodobné, že k mnohým používateľom by sa táto oprava aj tak nedostala.

V prípade väčšiny telefónov je tu ešte možnosť uskutočniť veľkú aktualizáciu na Android 4.4 alebo 5.0 a chybu odstrániť takýmto spôsobom. V praxi však OEM výrobcovia často nie sú ochotní na takúto zásadnú aktualizáciu. Je pre nich oveľa jednoduchšie aktualizovať vlastnú verziu a začleniť do nej opravu ako upgradovať na Android 4.4 či 5.0.

Ide o menšie zmeny a je s nimi menej práce. Mimochodom, podľa odhadov Googlu verziu Android 5.0 v súčasnosti používa menej ako 0,1 % androidových používateľov.

Pozícia Googlu je teda zložitá - vytvoril platformu, ktorej aktualizácia v podstate nie je v jeho moci. Pre androidové telefóny neexistuje nijaká obdoba Windows Update, Google nemá tak ako Microsoft a Apple priamy kanál na aktualizáciu svojho mobilného operačného systému. Všetko záleží na OEM výrobcoch a mobilných operátoroch.

Google môže aktualizovať len aplikácie prostredníctvom infraštruktúry Play Store. To je aj dôvod, prečo sa spoločnosť snaží vyňať čo najviac funkcií z Android OS a začleniť do APK. To však sotva pomôže 60 percentám androidových používateľov, ktorí sú v súčasnosti ohrození zakaždým, keď otvoria odkaz v prehliadači zabudovanom do svojho twitterového klienta.

Zdroj: arstechnica.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá