Эта проблема исправлена в Android 4.4 и 5.0, но более 60 процентов устройств Android застряли на устройствах, которые не получат никаких исправлений безопасности.
Почему Google не исправляет браузер Android 4.3
Обновления операционной системы Android - беспорядок. Производители выпускают огромное количество различных телефонов и широко изменяют код. Google не может просто обновить операционную систему на вашем устройстве - они могут только выпустить новый код и надеяться, что производитель устройства и ваш оператор сотовой связи будут тяжело работать с вами.
Традиционно большинство компонентов Android испекли на уровне операционной системы. Это включает в себя встроенный веб-браузер с именем «Браузер». Важно отметить, что сам браузер и основной механизм визуализации встроены в операционную систему. Механизм браузера используется в каждом приложении для Android, который использует встроенный веб-браузер, известный как «WebView».
Этот встроенный браузер основан на старой версии WebKit, и в нем недавно был обнаружен серьезный недостаток и сообщается в Google. Google не имеет возможности предоставить обновление пользователям Android для устранения этой проблемы. Он должен быть исправлен через обновление операционной системы, которое требует, чтобы производители устройств и операторы выполняли эту работу.
К сожалению, даже когда Google выпускает код обновления безопасности для браузера Android 4.3, многие производители устройств могут даже не отправлять исправления своим пользователям. Единственная экономичная изящество заключается в том, что многие устройства Android поставляются с Google Chrome, и пользователи безопасны при использовании Chrome на этих устройствах, но опять же, не используя другие приложения со встроенными веб-браузерами.
Большинство пользователей Android многопользовательские, но Android 4.4 и более новые исправлены
Google работает над тем, чтобы сделать обновления ОС Android менее важными, выбирая больше функций из основной операционной системы, чтобы их можно было обновить через Google Play. В Android 4.4 встроенный браузер может быть быстро обновлен производителями устройств с крошечным патчем. В Android 5.0 браузер обновляется Google через Google Play.
Но более 60 процентов устройств используют Android 4.3 и ниже, согласно собственным номерам Google. Google не выпустил «патч» для Android 4.3, но, если бы они это сделали, то это было бы для производителей телефонов и сотовых операторов, чтобы выкатить их. Действительно, Google видит обновление устройств на Android 4.4 в качестве исправления, и производители устройств должны работать над этим.
Мы не собираемся снимать здесь Google. Построение браузера глубоко в операционной системе, поэтому его нельзя быстро обновить, чтобы исправить дыры в безопасности было ужасным решением, и мы можем только поблагодарить, что теперь они изменили способ работы современных версий Android. Производители устройств и сотовые операторы заслуживают большой вины за неактивное обновление устройств. Если у вас есть телефон, купленный по двухлетнему контракту, он должен хотя бы обновить устройство с обновлениями безопасности по длине контракта!
Как оставаться в безопасности на Android 4.3 и предыдущих версиях
Но это не просто интересная дискуссия между Google и специалистами по безопасности онлайн. На самом деле большинство пользователей Android используют уязвимый веб-браузер, и вы можете быть одним из них. Вот что вы можете сделать, чтобы оставаться как можно безопаснее:
- Установка и использование другого веб-браузера: Не используйте встроенное приложение «Браузер» для просмотра веб-страниц. Вместо этого установите в браузере браузер Mozilla Firefox или Google Chrome. Chrome работает только на Android 4.0 и выше, но Mozilla Firefox по-прежнему работает на Android 2.3 Gingerbread. Эти браузеры включают свои собственные механизмы рендеринга, поэтому они не используют механизм браузера системы. Они также часто обновляются через Google Play. Вы, вероятно, найдете эти браузеры быстрее, чем встроенный браузер, если у вас есть более старое устройство со старым встроенным кодом браузера!
- Избегайте просмотра со встроенными веб-браузерами: Просто использование стороннего браузера не исправит все, так как вам все равно будет угрожать, если вы используете встроенный веб-браузер в приложении - они используют «WebView» системы, который уязвим. Избегайте просмотра встроенных браузеров, если у вас уязвимая версия Android. Придерживайтесь специального браузера, такого как Firefox или Chrome.
Google действительно рекомендовал разработчикам приложений Android объединить браузерные приложения в своих приложениях на Android 4.3 и более ранних версиях. Это единственный способ убедиться, что их встроенные браузеры безопасны и безопасны. Это грязный хак вокруг гниения кода браузера в самом Android. Это довольно сумасшедшая рекомендация, но разработчики действительно могут это рассмотреть, особенно если безопасность особенно важна для приложения.
Так насколько это опасно? Ну, мы еще не слышали, чтобы кто-нибудь эксплуатировал его. Но четкий сигнал Google о том, что 60 процентов всех современных Android-устройств не будут получать патчи безопасности браузера, наверняка приветствуется злоумышленникам.Мы ожидаем увидеть, что эксплойты браузера Android проникают в различные коллекции эксплойтов массового рынка, поскольку Google, покидающий браузер, используемый на большинстве Android-устройств, оставляет щель, которая может свободно использоваться без риска того, что исправления устранят проблемы.
Это немного похоже на проблемы безопасности при использовании Windows XP - если Windows XP все еще используется большинством пользователей, когда она была оставлена. Да, экосистема Android - это беспорядок. Должно быть возможно, чтобы Google получал обновления для браузера для своих пользователей, но это не так.
