19 393
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/N5106/android_43.jpg

A Google nem javítja a közel 1 milliárd készüléket érintő hibákat

2015.01.14. 13.32
Tod Beardsley, a Metasploit sérülékenységvizsgáló (hacker-keretrendszer) egyik fejlesztője egy meglehetősen komoly biztonsági sebezhetőségre bukkant az Android 4.3 egyik fejlesztői (komponensében), a WebViewban. A hibát publikáció nélkül jelezte a Google felé, hogy azok még a „vadonba jutás” előtt javíthassák. A Google reakciója viszont a közelmúlt eseményeinek fényében meglehetősen ironikus.

A sérülékenység az Android fejlesztői keretrendszer WebView komponensében található. Ez a komponens arra szolgál, hogy az Android-alkalmazások képesek legyenek weboldalak és egyéb webes elemek betöltésére saját felületükön, külön böngésző megnyitása nélkül.


Beardsley tehát jelezte a sérülékenységet, viszont azt a választ kapta vissza, hogy az Android 4.3 már túl régi verzió, így már nem biztosítanak hozzá javításokat, jelenleg csak az Android 4.4.* és az 5.0 Lollipop támogatásával foglalkoznak.



Ez azt jelenti, hogy az Android-felhasználók 60 százaléka, tehát azok, akik 4.3 vagy annál korábbi verziót használnak, már nem számíthatnak védelemre a jelenlegi és egy-egy újabb sérülékenység felfedezése, valamint esetleges publikálása után. Jelenleg körülbelül 930 millió androidos kütyüt érint ez a biztonságpolitika.

A cég ugyanakkor megjegyezte, hogy az OEM partnerek felé jelezni fogják a problémát, akik szabadon dönthetnek a hiba orvoslásáról. Viszont bármennyire is érződik hárításnak, egy hivatalos Android-javítás esetében is a partnereken múlna az ügyfelek készülékeinek – kivéve a Nexus, a GPE és az Android One készülékek – frissítése, tehát a Google bármit tesz, a korábban kiadott készülékek tulajdonosai minden bizonnyal már nem részesülnének a biztonságban.

A dolog pikantériája, hogy a Google néhány nappal ezelőtt még erősen támadta a Microsoftot a sérülékenységekhez való hanyag hozzáállása miatt, aminek következtében egy részletes leírást és exploitot publikáltak az általuk felfedezett Windows 8.1 sebezhetőségről. A Microsoft erre válaszul megvádolta a Google-t, miszerint a keresőóriás nem foglalkozik a felhasználók biztonságával, számára csak mások lejáratása és az önfényezés a fontos. Ezek fényében a cég picit rosszul időzített egy biztonsági javítás implementálásnak elutasításával.

Forrás: Rapid7 Metasploit Blog

Végtelen pénz: Egymilliárd iPhone‑t adott el eddig az Apple
Egy rejtélyes zenekütyü fejlesztésébe kezdett a Spotify
Rendszerfrissítésnek álcázzák az androidos kártevőket
Több ezren váltanának GNOME helyett KDE‑re az Ubuntuban
Felkapott témák
Így fog kinézni az iPhone X
Százmilliókat keresett egy tizenéves hacker
Ezek most a legjobb antivírusok Androidra
Xiaomi Mi MIX 2 – Itt a jövő okostelefonja
Több ezren váltanának GNOME helyett KDE-re az Ubuntuban
300 dollárba kerül egy Samsung Galaxy S8 legyártása
Állásajánlatok
Szenior JAVA fejlesztő
Villamosmérnök
DevOps Engineer - Cloud & BigData Miskolc
Marketing Manager, Real Estate Skanska
Business Analyst
Építésvezető
Product Owner Product Expert