Ovaj je problem fiksan za Android 4.4 i 5.0, ali više od 60 posto Android uređaja zaglavi se na uređaje koji neće primiti sigurnosne ispravke.
Zašto Google više ne krpa preglednik Android 4.3
Ažuriranja operacijskog sustava Android su nered. Proizvođači su ugasili veliki broj različitih telefona i opsežno mijenjali kôd. Google ne može samo ažurirati operativni sustav na vašem uređaju - oni mogu samo objaviti novi kod i nadati se da proizvođač uređaja i vaš mobilni operater teško rade za to.
Tradicionalno, većina Android komponenti su pečena na razini operacijskog sustava. To uključuje ugrađeni web preglednik pod nazivom "Browser". Važno je da sam preglednik i temeljni renderirani motor ugrađuju operativni sustav. Motor preglednika upotrebljava se u svakoj aplikaciji za Android koja koristi ugrađeni web-preglednik, poznat kao "WebView".
Ovaj ugrađeni preglednik temelji se na staroj verziji WebKita, a nedavno je otkriven i ozbiljan nedostatak i prijavljen Googleu. Google nema način pružanja ažuriranja izravno korisnicima Androida kako bi riješio taj problem. On mora biti fiksiran putem ažuriranja operacijskog sustava, što zahtijeva da proizvođači uređaja i operateri obavljaju posao.
Nažalost, čak i kada je Google objavio kôd sigurnosnog ažuriranja za preglednik Androida 4.3, mnogi proizvođači uređaja možda čak nisu isporučili popravke svojim korisnicima. Jedina uštedna milost je da su mnogi uređaji sa sustavom Android isporučeni s Google Chromeom, a korisnici su sigurni prilikom upotrebe Chromea na tim uređajima - ali opet ne upotrebljavajući druge aplikacije s ugrađenim web preglednicima.
Većina korisnika Androida je prekinuta, ali Android 4.4 i noviji su fiksni
Google je radio na tome da ažuriranja OS-a za Android ostanu manje važne, čime se razbije više značajki iz osnovnog operacijskog sustava kako bi se ažurirali putem usluge Google Play. U sustavu Android 4.4 ugrađeni preglednik može brzo ažurirati proizvođači uređaja s malom zakrpom. Na Androidu 5.0 Google izravno ažurira preglednik putem usluge Google Play.
No, više od 60 posto uređaja upotrebljava Android 4.3 i nižu, prema Googleovim vlastitim brojevima. Google nije objavio "zakrpu" za Android 4.3, ali - ako jesu - to bi trebalo biti do proizvođača telefona i mobilnih operatera kako bi ih izbacili. Stvarno, Google smatra da uređaji ažuriranja za Android 4.4 smatraju popravkom, a proizvođači uređaja trebaju raditi na tome umjesto toga.
Ovdje ne želimo osloboditi Google. Izgradnjom preglednika duboko u operacijski sustav tako da se ne može brzo ažurirati kako bi popravili sigurnosne rupe bio je strašna odluka, a mi možemo biti zahvalni što su sada promijenili način na koji moderne verzije Androida funkcioniraju. Proizvođači uređaja i mobilni operateri zaslužuju puno krivnje za ne ažuriranje uređaja odmah. Ako ste telefon kupili na dvogodišnjem ugovoru, trebali bi najmanje ažurirati uređaj sigurnosnim ažuriranjem za duljinu ugovora!
Kako ostati siguran na Android 4.3 i prethodnim verzijama
Ali to nije samo zanimljiva rasprava između Googlea i sigurnosnih stručnjaka na mreži. Stvarnost je da većina korisnika Androida upotrebljava ranjiv web preglednik, a vi svibanj biti jedan od njih. Evo što možete učiniti kako biste ostali što sigurniji:
- Instalirajte i koristite drugi web preglednik: Nemojte upotrebljavati ugrađenu aplikaciju "Preglednik" za pregledavanje weba. Umjesto toga, instalirajte preglednik poput Mozilla Firefox ili Google Chrome s Google Playa. Chrome radi samo na Androidu 4.0 i novijim verzijama, ali Mozilla Firefox i dalje radi na Android 2.3 Gingerbreadu. Ti preglednici uključuju svoje vlastite renderiranje motora, tako da ne koriste motora preglednika sustava. Često se ažuriraju i putem usluge Google Play. Vjerojatno ćete pronaći te preglednike brže od ugrađenog preglednika ako u svakom slučaju imate stariji uređaj sa starijim ugrađenim kôdom preglednika!
- Izbjegavajte pregledavanje s ugrađenim web preglednicima: Upotreba preglednika treće strane neće popraviti sve, jer ćete i dalje biti u opasnosti ako u aplikaciji koristite ugrađeni web-preglednik - oni koriste sustav "WebView" koji je ranjiv. Izbjegavajte pregledavanje s ugrađenim preglednicima ako imate ranjivu verziju Androida. Držite se namjenske aplikacije preglednika kao što su Firefox ili Chrome.
Google je zapravo preporučio da razvojni programeri aplikacija za Android usklade motore preglednika u svojim aplikacijama na Androidu 4.3 i starijima. To je jedini način da mogu osigurati da njihovi ugrađeni preglednici budu sigurni i sigurni. Ovo je prljavo kopiranje oko koda truljenja preglednika u samom Androidu. To je prilično luda prijedlog, no programeri možda žele razmotriti to - pogotovo ako je sigurnost osobito važna za aplikaciju.
Pa, koliko je rizika ovo, stvarno? Pa, nismo čuli da je netko još iskorištavao. No Googleov je jasan signal da 60 posto svih trenutačnih Android uređaja neće primati sigurnosne zakrpe preglednika zasigurno je bilo dobrodošlo napadačima.Očekujemo da će se eksploatirajući pretraživači za Android iskoristiti u različite masovne zbirke eksploatacija jer Google napušta preglednik koji se upotrebljava na većini uređaja s Androidom ostavlja otvorenu rupu koja se može slobodno iskoristiti bez rizika da će zakrpe riješiti probleme.
To je pomalo poput sigurnosnih problema s još uvijek korištenjem sustava Windows XP - ako je većina korisnika još uvijek koristila sustav Windows XP kada je bio napušten. Da, Androidov ekosustav je nered. Google bi trebao omogućiti da svojim korisnicima dobije sigurnosna ažuriranja preglednika, ali to nije.
