De webbrowser in Android 4.3 en eerder heeft veel grote beveiligingsproblemen , en Google zal het niet meer patchen . Als u een apparaat met Android 4.3 Jelly Bean of eerder gebruikt, moet u actie ondernemen.
Dit probleem is opgelost in Android 4.4 en 5.0, maar meer dan 60 procent van de Android-apparaten zit vast op apparaten die geen beveiligingsupdates ontvangen.
Waarom Google de browser van Android 4.3 niet meer patcht
VERWANT: Waarom uw Android-telefoon geen besturingssysteemupdates krijgt en wat u eraan kunt doen
Updates van het Android-besturingssysteem zijn een puinhoop . Fabrikanten brengen een groot aantal verschillende telefoons op de markt en passen de code uitgebreid aan. Google kan niet alleen het besturingssysteem op uw apparaat updaten. Ze kunnen alleen nieuwe code publiceren en hopen dat de fabrikant van het apparaat en uw mobiele provider het harde werk zullen doen om deze bij u te krijgen.
Traditioneel zijn de meeste Android-componenten ingebakken op het niveau van het besturingssysteem. Dit omvat de ingebouwde webbrowser, genaamd 'Browser'. Belangrijk is dat de browser zelf en de onderliggende rendering-engine in het besturingssysteem zijn ingebouwd. De browser-engine wordt gebruikt in elke Android-app die gebruikmaakt van een ingebouwde webbrowser, ook wel 'WebView' genoemd.
Deze ingebouwde browser is gebaseerd op een oude versie van WebKit, en er is onlangs een ernstige fout in ontdekt en gerapporteerd aan Google. Google kan Android-gebruikers niet rechtstreeks een update bieden om dit probleem op te lossen. Het moet worden opgelost via een update van het besturingssysteem, waarvoor apparaatfabrikanten en providers het werk moeten doen.
Helaas, zelfs toen Google de beveiligingsupdate-code voor de browser van Android 4.3 vrijgaf, hebben veel apparaatfabrikanten de oplossingen niet eens naar hun gebruikers verzonden. De enige goedmaker is dat veel Android-apparaten zijn geleverd met Google Chrome en dat gebruikers veilig zijn wanneer ze Chrome op die apparaten gebruiken, maar nogmaals, niet wanneer ze andere apps met ingebouwde webbrowser gebruiken.
De meeste Android-gebruikers zijn gestrand, maar Android 4.4 en nieuwer zijn opgelost
VERWANT: Krijg je geen Android OS-updates? Hier leest u hoe Google uw apparaat toch bijwerkt
Google heeft eraan gewerkt om ervoor te zorgen dat Android OS-updates er minder toe doen , waardoor meer functies uit het kernbesturingssysteem worden gehaald, zodat ze kunnen worden bijgewerkt via Google Play. In Android 4.4 kan de ingebouwde browser snel worden bijgewerkt door apparaatfabrikanten met een kleine patch. In Android 5.0 wordt de browser rechtstreeks door Google bijgewerkt via Google Play.
Maar meer dan 60 procent van de apparaten gebruikt Android 4.3 en lager, volgens Google's eigen cijfers . Google heeft geen 'patch' voor Android 4.3 uitgebracht, maar als ze dat wel deden, is het aan telefoonfabrikanten en mobiele providers om deze uit te rollen. Echt, Google ziet het updaten van apparaten naar Android 4.4 als de oplossing, en apparaatfabrikanten zouden daar in plaats daarvan aan moeten werken.
Het is niet onze bedoeling om Google hier te ontslaan. Het was een vreselijke beslissing om de browser diep in het besturingssysteem in te bouwen, zodat deze niet snel kan worden bijgewerkt om beveiligingslekken te verhelpen, en we kunnen alleen maar dankbaar zijn dat ze de manier waarop moderne versies van Android werken nu hebben veranderd. Apparaatfabrikanten en mobiele providers verdienen een groot deel van de schuld voor het niet snel updaten van apparaten. Als je een telefoon hebt gekocht op een twee jaar contract , moeten ze het apparaat op zijn minst updaten met beveiligingsupdates voor de duur van het contract!
Veilig blijven op Android 4.3 en eerdere versies
Maar dit is niet alleen een interessant debat tussen Google en online beveiligingsprofessionals. De realiteit is dat de meeste Android-gebruikers een kwetsbare webbrowser gebruiken, en u bent mogelijk een van hen. Hier is wat u kunt doen om zo veilig mogelijk te blijven:
- Installeer en gebruik een andere webbrowser : Gebruik de ingebouwde "Browser" -app niet om op internet te surfen. Installeer in plaats daarvan een browser zoals Mozilla Firefox of Google Chrome vanuit Google Play. Chrome werkt alleen op Android 4.0 en hoger, maar Mozilla Firefox werkt nog steeds op Android 2.3 Gingerbread . Deze browsers bevatten hun eigen rendering-engines, dus ze gebruiken de browser-engine van het systeem niet. Ze worden ook regelmatig bijgewerkt via Google Play. U zult deze browsers waarschijnlijk sneller vinden dan de ingebouwde browser als u een ouder apparaat heeft met oudere ingebouwde browsercode!
- Vermijd browsen met ingebouwde webbrowsers : Alleen het gebruik van een browser van een derde partij lost niet alles op, aangezien u nog steeds risico loopt als u een ingesloten webbrowser in een app gebruikt - deze gebruiken de "WebView" van het systeem, die kwetsbaar is. Voorkom browsen met ingesloten browsers als u een kwetsbare versie van Android heeft. Blijf bij een speciale browser-app zoals Firefox of Chrome.
Google raadde ontwikkelaars van Android-apps aan om browser-engines te bundelen in hun apps op Android 4.3 en eerder. Dat is de enige manier waarop ze ervoor kunnen zorgen dat hun ingebouwde browser veilig en beveiligd is. Dit is een vuile hack rond de rottende browsercode in Android zelf. Het is een behoorlijk gekke aanbeveling, maar ontwikkelaars willen dit misschien overwegen, vooral als beveiliging bijzonder belangrijk is voor de app.
Dus hoeveel risico is dit eigenlijk? Nou, we hebben nog nooit gehoord dat iemand er misbruik van maakt. Maar het duidelijke signaal van Google dat 60 procent van alle huidige Android-apparaten geen browserbeveiligingspatches zullen ontvangen, is zeker welkom bij aanvallers. We verwachten dat Android-browserexploits hun weg vinden naar verschillende massamarktcollecties van exploits, aangezien Google de browser verlaat die op de meeste Android-apparaten wordt gebruikt, een gapend gat achterlaat dat vrijelijk kan worden uitgebuit zonder het risico dat patches de problemen oplossen.
Het is een beetje zoals de beveiligingsproblemen bij het nog steeds gebruiken van Windows XP - als Windows XP nog door de meeste gebruikers werd gebruikt toen het werd verlaten. Ja, het Android-ecosysteem is een puinhoop. Het zou voor Google mogelijk moeten zijn om browserbeveiligingsupdates voor hun gebruikers te krijgen, maar dat is het niet.
