Google vysvětluje, proč neopraví miliardu děravých Androidů

Adrian Ludwing z bezpečnostního týmu Androidu se vyjádřilnedávné kauze ohledně ukončení podpory starších verzí Androidu ze strany Googlu. Jen připomenu, že webová vykreslovací komponenta WebView v Androidu 4.3 (Jelly Bean) a nižších obsahuje bezpečnostní chyby, které už Google nehodlá opravit, poněvadž se jedná o starý systém.

WebView je webkitové jádro, které používá vestavěný webový prohlížeč a aplikace třetích stran. To znamená, že by mohl útočník v krajním případě zaútočit na telefon s pomocí zákeřného skriptu, který se načte v děravém prohlížeči.  Nutno ale podotknout, že toto riziko se netýká mobilního Chromu, Firefoxu a některých dalších prohlížečů, které používají vlastní jádro a především jsou průběžně aktualizované z Play Storu.

Klepněte pro větší obrázek
Pokud používáte Chrome nebo třeba Firefox, jste za vodou

Tak v čem je problém? Ve velikosti. Postižený Jelly Bean (Android 4.1-4.3) stále používá více než 60 % všech aktivních androidích placek a telefonů, riziko zneužití je tedy obrovské – vždyť se po přepočtu na absolutní čísla jedná nejméně o miliardu zařízení.

Adrian Ludwig však vysvětluje, že Google nemůže věnovat prostředky opravě WebKitu (který má sám pět milionů řádků kódu) v několik let starém Androidu a že ani nemá páky, jak by takovou opravu dostal na koncová zařízení hromady výrobců. Jedinou možností je distribuce nových zdrojových kódů na stránkách AOSP a přeložení Androidu a vydání nového firmwaru výrobcem, což by bylo tak jako tak zdlouhavé.

Tato politika se mění právě až s příchodem KitKatu (Android 4.4) a Lollipopu (5.0). Zatímco v případě KitKatu mohou OEM výrobci komponentu WebView rychle opravit pomocí binárních patchů přímo od Googlu, v případě Lollipopu již lze aktualizaci provést přímo skrze infrastrukturu Play Store a tedy bez potřeby OEM výrobce, čili bezpečnost je opravdu pod kontrolou Googlu.

Pokud tedy chcete mít bezpečné zařízení s Androidem, vybírejte takové, jehož výrobce je dostatečně flexibilní na to, aby nabídl telefon a tablet pokud možno s nejnovější verzí Androidu.

Témata článku: Google, Android, Bezpečnost

59 komentářů

Nejnovější komentáře

  • VanThomass 28. 1. 2015 14:38:18
    Tomu říkám konstruktivní vysvětlení :-D
  • Martin Schucke 27. 1. 2015 20:15:39
    I proto můj další mobil nebude s Androidem! :)
  • Sancho 27. 1. 2015 20:09:55
    Som asi nechapavy, ale... Nejedna sa o komponentu, ktora by bola priamo...
Určitě si přečtěte

Garmin Forerunner 35 Optic: levné chytré hodinky, které vás důkladně proměří [recenze]

Garmin Forerunner 35 Optic: levné chytré hodinky, které vás důkladně proměří [recenze]

** Recenze cenově dostupných značkových hodinek s GPS ** Průběžně měří kroky, srdeční tep a upozorňují na notifikace z telefonu ** Jsou malé, lehké a mají dlouhou výdrž

17.  1.  2017 | Polesný David | 39

BlackBerry DTEK60: s vlastním softwarem, v cizím pokoji  [recenze]

BlackBerry DTEK60: s vlastním softwarem, v cizím pokoji [recenze]

** Má jít o nezabezpečenější telefon s Androidem na trhu ** Oproti modelům od Vodafone či Alcatel nabízí Snapdragon 820 ** S cenovkou atakující 15 tisíc Kč to však nebude mít lehké

15.  1.  2017 | Měchura Milan | 12

Máte nový dron? Pozor, váží se k němu složitá pravidla

Máte nový dron? Pozor, váží se k němu složitá pravidla

** Drony jsou hit mezi profesionály i nadšenými amatéry. ** K létání s civilními drony se vztahuje složitá legislavita. ** Potřebujete licenci? Víte, kde můžete létat?

14.  1.  2017 | .cz Blesk | 9

Herní konzole a smartphone v jednom? PGS Lab chce oživit již několikrát neúspěšně zkoušený koncept

Herní konzole a smartphone v jednom? PGS Lab chce oživit již několikrát neúspěšně zkoušený koncept

** Dvojice procesorů, operačních systémů a displejů ** Hybrid kombinující funkce smartphonu a herní konzole typu Nintendo ** Jde o další odbočku do slepé uličky nebo nový směr?

13.  1.  2017 | Láska Jan | 6