Google: Děravý Android Jelly Bean neopravíme

Adrian Ludwing z bezpečnostního týmu Androidu se vyjádřilnedávné kauze ohledně ukončení podpory starších verzí Androidu ze strany Googlu. Jen připomenu, že webová vykreslovací komponenta WebView v Androidu 4.3 (Jelly Bean) a nižších obsahuje bezpečnostní chyby, které už Google nehodlá opravit, poněvadž se jedná o starý systém.

WebView je webkitové jádro, které používá vestavěný webový prohlížeč a aplikace třetích stran. To znamená, že by mohl útočník v krajním případě zaútočit na telefon s pomocí zákeřného skriptu, který se načte v děravém prohlížeči.  Nutno ale podotknout, že toto riziko se netýká mobilního Chromu, Firefoxu a některých dalších prohlížečů, které používají vlastní jádro a především jsou průběžně aktualizované z Play Storu.

Klepněte pro větší obrázek
Pokud používáte Chrome nebo třeba Firefox, jste za vodou

Tak v čem je problém? Ve velikosti. Postižený Jelly Bean (Android 4.1-4.3) stále používá více než 60 % všech aktivních androidích placek a telefonů, riziko zneužití je tedy obrovské – vždyť se po přepočtu na absolutní čísla jedná nejméně o miliardu zařízení.

Adrian Ludwig však vysvětluje, že Google nemůže věnovat prostředky opravě WebKitu (který má sám pět milionů řádků kódu) v několik let starém Androidu a že ani nemá páky, jak by takovou opravu dostal na koncová zařízení hromady výrobců. Jedinou možností je distribuce nových zdrojových kódů na stránkách AOSP a přeložení Androidu a vydání nového firmwaru výrobcem, což by bylo tak jako tak zdlouhavé.

Tato politika se mění právě až s příchodem KitKatu (Android 4.4) a Lollipopu (5.0). Zatímco v případě KitKatu mohou OEM výrobci komponentu WebView rychle opravit pomocí binárních patchů přímo od Googlu, v případě Lollipopu již lze aktualizaci provést přímo skrze infrastrukturu Play Store a tedy bez potřeby OEM výrobce, čili bezpečnost je opravdu pod kontrolou Googlu.

Pokud tedy chcete mít bezpečné zařízení s Androidem, vybírejte takové, jehož výrobce je dostatečně flexibilní na to, aby nabídl telefon a tablet pokud možno s nejnovější verzí Androidu.

Témata článku: Software, Google, Bezpečnost, Mobility, Android, Bean, Jelly Bean, Android 4.4, Google Play Store, Raven

167 komentářů

Nejnovější komentáře

  • Jan Polášek 28. 1. 2015 12:02:40
    Vážně je tu tolik lidí, kteří nepochopili, proč Google tu chybu nebude...
  • Mysak.cz 28. 1. 2015 10:41:05
    Všude čtu jen to, že je na Jelly Bean chyba s Webview, ale nikde jsem...
  • dpcstb 27. 1. 2015 22:16:43
    google je proste evil. pri tych ziskoch vyhradit par programatorov na par...
Určitě si přečtěte

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

25.  3.  2017 | Stanislav Janů | 55

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

** Aktualizace Creators Update pro Windows 10 ještě nebyla oficiálně uvolněna ** Už ale existuje způsob, jak jí ze serverů Microsoftu dostat ** Úspěšně jsme to vyzkoušeli

28.  3.  2017 | Jakub Čížek | 69


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?