Verkkoselain Android 4.3: ssa ja aiemmissa versioissa on monia suuria turvallisuusongelmia ja Google ei korjaa sitä enää . Jos käytät laitetta, jossa on Android 4.3 Jelly Bean tai vanhempi, sinun on ryhdyttävä toimiin.
Tämä ongelma on korjattu Android 4.4: ssä ja 5.0: ssa, mutta yli 60 prosenttia Android-laitteista on jumissa laitteissa, jotka eivät saa tietoturvakorjauksia.
Miksi Google ei enää korjaa Android 4.3: n selainta
LIITTYVÄT: Miksi Android-puhelimesi ei saa käyttöjärjestelmän päivityksiä ja mitä voit tehdä asialle
Android-käyttöjärjestelmän päivitykset ovat sotkuisia . Valmistajat julkaisivat valtavan määrän erilaisia puhelimia ja muokkaavat koodia laajasti. Google ei voi vain päivittää laitteesi käyttöjärjestelmää - hän voi vain laittaa uuden koodin ja toivoa, että laitteen valmistaja ja matkapuhelinoperaattorisi tekevät kovan työn saadakseen sen sinulle.
Perinteisesti suurin osa Android-komponenteista on paistettu käyttöjärjestelmän tasolla. Tämä sisältää sisäänrakennetun selaimen nimeltä "Selain". Tärkeää on, että itse selain ja sen taustalla oleva renderointimoottori on rakennettu käyttöjärjestelmään. Selainmoottoria käytetään kaikissa Android-sovelluksissa, jotka käyttävät upotettua verkkoselainta, joka tunnetaan nimellä “WebView”.
Tämä sisäänrakennettu selain perustuu vanhaan WebKitin versioon, ja siinä havaittiin äskettäin vakava virhe, josta ilmoitettiin Googlelle. Google ei voi tarjota päivitystä suoraan Android-käyttäjille ongelman korjaamiseksi. Se on korjattava käyttöjärjestelmän päivityksen avulla, mikä edellyttää laitevalmistajilta ja -operaattoreilta työtä.
Valitettavasti, vaikka Google julkaisi Android 4.3: n selaimen tietoturvapäivityskoodia, monet laitevalmistajat eivät ehkä ole edes toimittaneet korjauksia käyttäjilleen. Ainoa säästävä armo on se, että monet Android-laitteet on toimitettu Google Chromen mukana, ja käyttäjät ovat turvassa käyttäessään Chromea näillä laitteilla - mutta jälleen kerran, ei käyttäessään muita sovelluksia sulautetuilla verkkoselaimilla.
Useimmat Android-käyttäjät ovat jumissa, mutta Android 4.4 ja uudemmat ovat korjattu
LIITTYVÄT: Etkö saa Android-käyttöjärjestelmän päivityksiä? Näin Google päivittää laitteesi joka tapauksessa
Google on pyrkinyt tekemään Android-käyttöjärjestelmän päivityksistä vähemmän merkityksellisiä , murtamalla lisää ominaisuuksia pääkäyttöjärjestelmästä, jotta ne voidaan päivittää Google Playn kautta. Sisään Android 4.4 , laitevalmistajat voivat päivittää sisäänrakennetun selaimen nopeasti pienellä laastarilla. Android 5.0: ssa Google päivittää selaimen suoraan Google Playn kautta.
Mutta yli 60 prosenttia laitteista käyttää Android 4.3: a tai vanhempaa, Googlen omien numeroiden mukaan . Google ei ole julkaissut "korjaustiedostoa" Android 4.3: lle, mutta jos ne tekisivät, puhelimen valmistajien ja matkapuhelinoperaattoreiden on tehtävä se käyttöön. Todellakin, Google näkee laitteiden päivittämisen Android 4.4: ksi korjauksena, ja laitevalmistajien pitäisi työskennellä sen sijaan.
Emme halua vapauttaa Googlea täällä. Selaimen rakentaminen syvälle käyttöjärjestelmään, jotta sitä ei voida päivittää nopeasti korjaamaan turva-aukkoja, oli kauhea päätös, ja voimme olla vain kiitollisia siitä, että he ovat nyt muuttaneet tapaa, jolla Androidin modernit versiot toimivat. Laitevalmistajat ja matkapuhelinoperaattorit ansaitsevat paljon syytä siitä, etteivät ne päivitä laitteita nopeasti. Jos sinulla on puhelin ostettu osoitteesta kahden vuoden sopimus , heidän tulisi ainakin päivittää laite tietoturvapäivityksillä sopimuksen keston ajaksi!
Kuinka pysyä turvassa Android 4.3: ssa ja aiemmissa versioissa
Mutta tämä ei ole vain mielenkiintoinen keskustelu Googlen ja tietoturva-alan ammattilaisten välillä. Todellisuus on, että useimmat Android-käyttäjät käyttävät haavoittuvaa verkkoselainta, ja sinä saatat olla yksi heistä. Näin voit pysyä mahdollisimman turvallisena:
- Asenna ja käytä toista verkkoselainta : Älä käytä sisäänrakennettua Selain-sovellusta web-selailuun. Asenna sen sijaan selain, kuten Mozilla Firefox tai Google Chrome, Google Playsta. Chrome toimii vain Android 4.0: lla tai uudemmalla, mutta Mozilla Firefox toimii edelleen Android 2.3 -piparkakkuilla . Nämä selaimet sisältävät omat renderointimoottorinsa, joten ne eivät käytä järjestelmän selainmoottoria. Ne päivitetään myös usein Google Playn kautta. Löydät nämä selaimet todennäköisesti nopeammin kuin sisäänrakennettu selain, jos sinulla on kuitenkin vanhempi laite, jossa on vanhempi sisäänrakennettu selainkoodi!
- Vältä selaamista upotetuilla verkkoselaimilla : Pelkästään kolmannen osapuolen selaimen käyttö ei korjaa kaikkea, koska olet silti vaarassa, jos käytät upotettua verkkoselainta sovelluksessa - nämä käyttävät järjestelmän haavoittuvaa WebView-näkymää. Vältä upotettujen selainten selaamista, jos sinulla on haavoittuva Android-versio. Pidä erillinen selainsovellus, kuten Firefox tai Chrome.
Google suositteli Android-sovelluskehittäjien niputtavan selainmoottoreita sovelluksiinsa, joissa on Android 4.3 tai vanhempi. Se on ainoa tapa varmistaa, että sisäänrakennetut selaimet ovat turvallisia. Tämä on likainen hakkerointi mätänevän selainkoodin ympärillä itse Androidissa. Se on melko hullu suositus, mutta kehittäjät saattavat haluta ottaa huomioon tämän - varsinkin jos turvallisuus on erityisen tärkeää sovellukselle.
Joten kuinka suuri riski tämä on, todella? Emme ole vielä kuulleet kenenkään hyödyntävän sitä. Mutta Googlen selkeä signaali siitä, että 60 prosenttia kaikista nykyisistä Android-laitteista ei saa selaimen tietoturvakorjauksia, on varmasti ollut tervetullut hyökkääjille. Odotamme näkevämme Android-selainhyödykkeiden tunkeutuvan erilaisiin massamarkkinoiden kokoelmiin, koska Google hylkää useimmissa Android-laitteissa käytetyn selaimen, jättää aukon, jota voidaan vapaasti hyödyntää ilman riskiä, että korjaustiedostot korjaavat ongelmat.
Se on vähän kuin Windows XP: n edelleen käyttämisen turvallisuusongelmat - jos suurin osa käyttäjistä käytti edelleen Windows XP: tä, kun se hylättiin. Kyllä, Android-ekosysteemi on sotku. Googlen pitäisi olla mahdollista saada selaimen tietoturvapäivitykset käyttäjilleen, mutta ei.
