Google vysvětluje, proč neopraví miliardu děravých Androidů

Google vysvětluje, proč neopraví miliardu děravých Androidů

Adrian Ludwing z bezpečnostního týmu Androidu se vyjádřilnedávné kauze ohledně ukončení podpory starších verzí Androidu ze strany Googlu. Jen připomenu, že webová vykreslovací komponenta WebView v Androidu 4.3 (Jelly Bean) a nižších obsahuje bezpečnostní chyby, které už Google nehodlá opravit, poněvadž se jedná o starý systém.

WebView je webkitové jádro, které používá vestavěný webový prohlížeč a aplikace třetích stran. To znamená, že by mohl útočník v krajním případě zaútočit na telefon s pomocí zákeřného skriptu, který se načte v děravém prohlížeči.  Nutno ale podotknout, že toto riziko se netýká mobilního Chromu, Firefoxu a některých dalších prohlížečů, které používají vlastní jádro a především jsou průběžně aktualizované z Play Storu.

Klepněte pro větší obrázek
Pokud používáte Chrome nebo třeba Firefox, jste za vodou

Tak v čem je problém? Ve velikosti. Postižený Jelly Bean (Android 4.1-4.3) stále používá více než 60 % všech aktivních androidích placek a telefonů, riziko zneužití je tedy obrovské – vždyť se po přepočtu na absolutní čísla jedná nejméně o miliardu zařízení.

Adrian Ludwig však vysvětluje, že Google nemůže věnovat prostředky opravě WebKitu (který má sám pět milionů řádků kódu) v několik let starém Androidu a že ani nemá páky, jak by takovou opravu dostal na koncová zařízení hromady výrobců. Jedinou možností je distribuce nových zdrojových kódů na stránkách AOSP a přeložení Androidu a vydání nového firmwaru výrobcem, což by bylo tak jako tak zdlouhavé.

Tato politika se mění právě až s příchodem KitKatu (Android 4.4) a Lollipopu (5.0). Zatímco v případě KitKatu mohou OEM výrobci komponentu WebView rychle opravit pomocí binárních patchů přímo od Googlu, v případě Lollipopu již lze aktualizaci provést přímo skrze infrastrukturu Play Store a tedy bez potřeby OEM výrobce, čili bezpečnost je opravdu pod kontrolou Googlu.

Pokud tedy chcete mít bezpečné zařízení s Androidem, vybírejte takové, jehož výrobce je dostatečně flexibilní na to, aby nabídl telefon a tablet pokud možno s nejnovější verzí Androidu.

Diskuze (59) Další článek: NetMetr: pomozte ČTÚ s mapou mobilního internetu

Témata článku: Google, Android, Bezpečnost, WebKit, Starý systém, AOSP, Mil, Google +, #Android, Krajní případ, Bezpečnostní tým, Skript, Nový zdroj


Určitě si přečtěte

Jak správně dobíjet baterie současných mobilů? Pozor na zastaralé návyky

Jak správně dobíjet baterie současných mobilů? Pozor na zastaralé návyky

Baterie v mobilních zařízeních se vyvíjejí, i když možná ne tak rychle jako některé jiné komponenty. Přesto už s dnešními články není žádoucí pracovat jako kdysi s NiCd bateriemi.

Jan Láska | 117

RECENZE: Honor 7A je dobrá volba, když nechcete utrácet

RECENZE: Honor 7A je dobrá volba, když nechcete utrácet

** Honor 7A je ideální smartphone pro děti či začátečníky ** Nestojí moc a systém na něm jede hezky plynule ** Má rozumně nastavené parametry, zabezpečení a hezké barvy **

Jakub Vrbacký | 19

RECENZE: Asus Zenfone 5Z — velký stylař posouvá hranice

RECENZE: Asus Zenfone 5Z — velký stylař posouvá hranice

** Zenfone 5Z je jako pětka, jenom se špičkovou výbavou ** Potěší vysokým výkonem, očištěným systémem, ale i stereo repráčky ** S cenou se naštěstí drží při zemi.

Martin Miksa | 26