Webbläsaren i Android 4.3 och tidigare har många stora säkerhetsproblem och Google lappar inte längre . Om du använder en enhet med Android 4.3 Jelly Bean eller tidigare måste du vidta åtgärder.
Det här problemet åtgärdas i Android 4.4 och 5.0, men mer än 60 procent av Android-enheterna sitter fast på enheter som inte får några säkerhetsfixar.
Varför Google inte patchar Android 4.3s webbläsare längre
RELATERAD: Varför din Android-telefon inte får uppdateringar av operativsystemet och vad du kan göra åt det
Android-operativsystemsuppdateringar är en röra . Tillverkare lägger ut ett stort antal olika telefoner och ändrar koden i stor utsträckning. Google kan inte bara uppdatera operativsystemet på din enhet - de kan bara lägga ut ny kod och hoppas att enhetens tillverkare och din mobiloperatör gör det hårda arbetet med att få den till dig.
Traditionellt har de flesta Android-komponenter blivit inlagda på operativsystemsnivå. Detta inkluderar den inbyggda webbläsaren som heter "Browser." Det är viktigt att själva webbläsaren och den underliggande renderingsmotorn är inbyggda i operativsystemet. Webbläsarmotorn används i alla Android-appar som använder en inbäddad webbläsare, så kallad "WebView".
Den här inbyggda webbläsaren är baserad på en gammal version av WebKit och en allvarlig brist upptäcktes nyligen i den och rapporterades till Google. Google har inget sätt att tillhandahålla en uppdatering direkt till Android-användare för att lösa problemet. Det måste åtgärdas genom en uppdatering av operativsystemet, vilket kräver att tillverkare och operatörer av enheter gör jobbet.
Tyvärr, även när Google släppte säkerhetsuppdateringskod för Android 4.3s webbläsare, kanske många enhetstillverkare inte ens har skickat korrigeringarna till sina användare. Den enda räddningen är att många Android-enheter har levererats med Google Chrome, och användarna är säkra när de använder Chrome på dessa enheter - men återigen inte när de använder andra appar med inbäddade webbläsare.
De flesta Android-användare är strandade, men Android 4.4 och nyare är fixade
RELATERAD: Får du inte Android OS-uppdateringar? Så här uppdaterar Google din enhet hur som helst
Google har arbetat med att göra Android OS-uppdateringar mindre viktiga , bryter ut fler funktioner från kärnoperativsystemet så att de kan uppdateras via Google Play. I Android 4.4 kan den inbyggda webbläsaren snabbt uppdateras av enhetstillverkare med en liten patch. I Android 5.0 uppdateras webbläsaren av Google direkt via Google Play.
Men mer än 60 procent av enheterna använder Android 4.3 och lägre, enligt Googles egna nummer . Google har inte släppt en "patch" för Android 4.3, men - om de gjorde det - skulle det vara upp till telefontillverkare och mobiloperatörer att rulla ut den. Verkligen ser Google att uppdatera enheter till Android 4.4 som lösningen, och enhetstillverkare borde arbeta med det istället.
Vi menar inte att befria Google här. Att bygga webbläsaren djupt in i operativsystemet så att den inte kan uppdateras snabbt för att fixa säkerhetshål var ett fruktansvärt beslut, och vi kan bara vara tacksamma för att de nu har förändrat hur moderna versioner av Android fungerar. Enhetstillverkare och mobiloperatörer förtjänar mycket av skulden för att de inte har uppdaterat enheter omedelbart. Om du har köpt en telefon på en tvåårigt kontrakt bör de åtminstone uppdatera enheten med säkerhetsuppdateringar för kontraktets längd!
Hur man är säker på Android 4.3 och tidigare versioner
Men det här är inte bara en intressant debatt mellan Google och säkerhetspersonal online. Verkligheten är att de flesta Android-användare använder en sårbar webbläsare, och du kan vara en av dem. Här är vad du kan göra för att vara så säker som möjligt:
- Installera och använd en annan webbläsare : Använd inte den inbyggda webbläsarappen för att surfa på webben. Installera istället en webbläsare som Mozilla Firefox eller Google Chrome från Google Play. Chrome fungerar bara på Android 4.0 och senare, men Mozilla Firefox fungerar fortfarande på Android 2.3 Gingerbread . Dessa webbläsare inkluderar sina egna renderingsmotorer, så de använder inte systemets webbläsarmotor. De uppdateras också ofta via Google Play. Du kommer antagligen hitta dessa webbläsare snabbare än den inbyggda webbläsaren om du ändå har en äldre enhet med äldre inbyggd webbläsarkod!
- Undvik att surfa med inbäddade webbläsare : Att bara använda en webbläsare från tredje part fixar inte allt, eftersom du fortfarande riskerar att använda en inbäddad webbläsare i en app - dessa använder systemets "WebView", som är sårbart. Undvik att surfa med inbäddade webbläsare om du har en sårbar version av Android. Håll dig till en dedikerad webbläsarapp som Firefox eller Chrome.
Google rekommenderade faktiskt Android-appar utvecklare buntar webbläsarmotorer i sina appar på Android 4.3 och tidigare. Det är det enda sättet de kan se till att deras inbyggda webbläsare är säkra och säkra. Detta är ett smutsigt hack runt den ruttnande webbläsarkoden i Android själv. Det är en ganska galen rekommendation, men utvecklare kanske faktiskt vill överväga detta - speciellt om säkerhet är särskilt viktig för appen.
Så hur stor risk är det egentligen? Vi har inte hört talas om någon som utnyttjar det ännu. Men Googles tydliga signal om att 60 procent av alla nuvarande Android-enheter inte kommer att få säkerhetsuppdateringar för webbläsare har säkert varit välkommen för angripare. Vi förväntar oss att Android-webbläsare utnyttjar sin väg in i olika massmarknadssamlingar av exploateringar, eftersom Google överger webbläsaren som används på de flesta Android-enheter lämnar ett gapande hål som fritt kan utnyttjas utan risken för att korrigeringar löser problemen.
Det är lite som säkerhetsproblemen med att fortfarande använda Windows XP - om Windows XP fortfarande användes av de flesta användare när den övergavs. Ja, Android-ekosystemet är en röra. Det borde vara möjligt för Google att få webbläsares säkerhetsuppdateringar till sina användare, men det är det inte.
