Google vysvětluje, proč neopraví miliardu děravých Androidů

Google vysvětluje, proč neopraví miliardu děravých Androidů

Adrian Ludwing z bezpečnostního týmu Androidu se vyjádřilnedávné kauze ohledně ukončení podpory starších verzí Androidu ze strany Googlu. Jen připomenu, že webová vykreslovací komponenta WebView v Androidu 4.3 (Jelly Bean) a nižších obsahuje bezpečnostní chyby, které už Google nehodlá opravit, poněvadž se jedná o starý systém.

WebView je webkitové jádro, které používá vestavěný webový prohlížeč a aplikace třetích stran. To znamená, že by mohl útočník v krajním případě zaútočit na telefon s pomocí zákeřného skriptu, který se načte v děravém prohlížeči.  Nutno ale podotknout, že toto riziko se netýká mobilního Chromu, Firefoxu a některých dalších prohlížečů, které používají vlastní jádro a především jsou průběžně aktualizované z Play Storu.

Klepněte pro větší obrázek
Pokud používáte Chrome nebo třeba Firefox, jste za vodou

Tak v čem je problém? Ve velikosti. Postižený Jelly Bean (Android 4.1-4.3) stále používá více než 60 % všech aktivních androidích placek a telefonů, riziko zneužití je tedy obrovské – vždyť se po přepočtu na absolutní čísla jedná nejméně o miliardu zařízení.

Adrian Ludwig však vysvětluje, že Google nemůže věnovat prostředky opravě WebKitu (který má sám pět milionů řádků kódu) v několik let starém Androidu a že ani nemá páky, jak by takovou opravu dostal na koncová zařízení hromady výrobců. Jedinou možností je distribuce nových zdrojových kódů na stránkách AOSP a přeložení Androidu a vydání nového firmwaru výrobcem, což by bylo tak jako tak zdlouhavé.

Tato politika se mění právě až s příchodem KitKatu (Android 4.4) a Lollipopu (5.0). Zatímco v případě KitKatu mohou OEM výrobci komponentu WebView rychle opravit pomocí binárních patchů přímo od Googlu, v případě Lollipopu již lze aktualizaci provést přímo skrze infrastrukturu Play Store a tedy bez potřeby OEM výrobce, čili bezpečnost je opravdu pod kontrolou Googlu.

Pokud tedy chcete mít bezpečné zařízení s Androidem, vybírejte takové, jehož výrobce je dostatečně flexibilní na to, aby nabídl telefon a tablet pokud možno s nejnovější verzí Androidu.

Diskuze (59) Další článek: NetMetr: pomozte ČTÚ s mapou mobilního internetu

Témata článku: Google, Android, Bezpečnost, #Android, Bezpečnostní tým, Krajní případ, Mil, Google +, Nový zdroj, AOSP, WebKit, Skript


Určitě si přečtěte

RECENZE: Huawei P20 Lite — odlehčená verze letošní špičky láká vzhledem i cenou

RECENZE: Huawei P20 Lite — odlehčená verze letošní špičky láká vzhledem i cenou

** Osvědčený recept Huawei v trochu modernějším střihu ** Výřez v displeji neruší ani zdaleka, jak by se mohlo zdát ** Odemykání obličejem je návykové a překvapivě dobře funguje

Martin Herodek | 39

RECENZE: Xiaomi Redmi 5 Plus — znovu trefa do černého

RECENZE: Xiaomi Redmi 5 Plus — znovu trefa do černého

** Redmi 5 Plus nabízí velký 6palcový FullHD+ displej i dostatečný výkon ** Oproti minulé generaci dokázalo Xiaomi zapracovat na fotoaparátu ** Celková vyváženost vč. rozumné ceny ho předurčuje k úspěchu

Milan Měchura | 34

RECENZE: Asus Zenfone 5 — výborná vyšší třída, kterou nezazdila ani cena

RECENZE: Asus Zenfone 5 — výborná vyšší třída, kterou nezazdila ani cena

** Asus se nechal zlákat na design s vykousnutým displejem ** K tomu přidal velmi slušnou výbavu s minimem kompromisů ** Vznikl Zenfone 5, který konečně dokáže konkurovat i cenou

Jan Láska | 41

Xiaomi Redmi Note 5A Prime: levný neznamená odbytý [recenze]

Xiaomi Redmi Note 5A Prime: levný neznamená odbytý [recenze]

** Překvapivě schopný mix parametrů s rozumnou cenovkou ** Slabší výkon kompenzuje HD rozlišením a dostatkem paměti ** Přítomná trojice slotů na karty a infraport se nevidí často

Martin Herodek | 11