Този проблем е поправен в Android 4.4 и 5.0, но повече от 60% от устройствата с Android се забиват на устройства, които няма да получат коригирания по сигурността.
Защо Google вече не проследява браузъра на Android 4.3?
Актуализациите на операционната система Android са бъркотия. Производителите извадиха огромен брой различни телефони и разшириха кода си. Google не може просто да актуализира операционната система на устройството ви - те могат само да издадат нов код и да се надяват, че производителят на устройството и вашият клетъчен оператор ще положат усилия да го получат.
Традиционно повечето компоненти на Android са изпечени на ниво операционна система. Това включва вградения уеб браузър, наречен "Браузър". Важно е, че самият браузър и основният рендиращ двигател са вградени в операционната система. Браузърът се използва във всяко приложение за Android, което използва вграден уеб браузър, известен като "WebView".
Този вграден браузър е базиран на старата версия на WebKit, а в последно време е открит сериозен недостатък и се съобщава на Google. Google няма начин да предостави актуализация директно на потребителите на Android, за да отстрани този проблем. Той трябва да бъде фиксиран чрез актуализация на операционната система, която изисква производителите на устройства и операторите да вършат работата.
За съжаление, дори когато Google пускаше код за актуализация на защитата за браузъра на Android 4.3, много производители на устройства може и да не са изпращали корекциите на своите потребители. Единствената спестяваща грация е, че много устройства с Android са доставени с Google Chrome и потребителите са безопасни, докато използват Chrome на тези устройства, но пак не използват други приложения с вградени уеб браузъри.
Повечето потребители на Android са блокирани, но Android 4.4 и по-нови са фиксирани
Google се занимава с това, че актуализациите на OS Android не са по-маловажни, а от основната операционна система ще бъдат премахнати повече функции, така че те да могат да се актуализират чрез Google Play. В Android 4.4 вграденият браузър може бързо да бъде актуализиран от производителите на устройства с малък пластир. В Android 5.0 браузърът се актуализира от Google директно през Google Play.
Но повече от 60% от устройствата използват Android 4.3 и по-ниски, според собствените номера на Google. Google не е пуснал "кръпка" за Android 4.3, но ако го направи, ще е на телефони на производителите и клетъчните оператори да го пуснат на пазара. Наистина, Google вижда актуализирането на устройствата с Android 4.4 като поправка, а производителите на устройства трябва да работят вместо това.
Не искаме да освободим Google оттук. Изграждането на браузъра дълбоко в операционната система, така че не може да бъде бързо актуализирано, за да се отстранят дупките за сигурност, е ужасно решение и можем само да сме благодарни, че вече са променили начина, по който работят съвременните версии на Android. Производителите на устройства и клетъчните оператори заслужават много вината, че не актуализират устройствата своевременно. Ако имате телефонен номер, купен с двугодишен договор, те трябва поне да актуализират устройството с актуализации за сигурност за срока на договора!
Как да останете в безопасност на Android 4.3 и предишните версии
Но това не е просто интересен дебат между Google и онлайн специалистите по сигурността. Реалността е, че повечето потребители на Android използват уязвим уеб браузър и може да сте един от тях. Ето какво можете да направите, за да останете колкото е възможно по-сигурни:
- Инсталирайте и използвайте различен уеб браузър: Не използвайте вграденото приложение "Браузър", за да сърфирате в мрежата. Вместо това инсталирайте браузър като Mozilla Firefox или Google Chrome от Google Play. Chrome работи само на Android 4.0 и нагоре, но Mozilla Firefox все още работи на Android 2.3 Gingerbread. Тези браузъри включват собствени двигатели за рендиране, така че да не използват браузъра на системата. Те също често се актуализират чрез Google Play. Вероятно ще намерите тези браузъри по-бързо от вградения браузър, ако имате едно по-старо устройство с по-стар вграден код на браузъра, така или иначе!
- Избягвайте да сърфирате с вградени уеб браузъри: Просто ползването на браузър от трета страна няма да отстрани всичко, тъй като все още ще бъдете изложени на риск, ако използвате вграден уеб браузър в приложение - те използват уязвимата система "WebView". Избягвайте да сърфирате с вградени браузъри, ако имате уязвима версия на Android. Придържайте се към специално приложение за браузър като Firefox или Chrome.
Google всъщност препоръчва разработчиците на приложения за Android да обединяват двигатели на браузърите в своите приложения на Android 4.3 и по-стари. Това е единственият начин, по който те могат да гарантират, че техните вградени браузъри са безопасни и сигурни. Това е мръсна хакна около разлагащия се код на браузъра в самия Android. Това е доста луда препоръка, но разработчиците може действително да искат да разгледат това - особено ако сигурността е особено важна за приложението.
И така, колко е рискът наистина? Е, все още не сме чували за това, че някой още го е използвал. Но ясният сигнал на Google, че 60% от всички текущи устройства с Android няма да получат кръпки за сигурност на браузъра, със сигурност бе добре дошъл за нападателите.Очакваме да видим, че експлойтите на браузърите на Android се превръщат в различни колекции на масовия пазар, тъй като Google изоставя браузъра, използван в повечето устройства с Android, оставя отворена дупка, която може да бъде свободно експлоатирана, без риск от отстраняване на проблемите.
Това е малко като проблемите със сигурността, които все още използват Windows XP - ако Windows XP все още се използва от мнозинството потребители, когато е бил изоставен. Да, екосистемата на Android е бъркотия. Google трябва да има възможност да получава актуализации за сигурност на браузъра на своите потребители, но това не е така.
