Questo problema è stato risolto in Android 4.4 e 5.0, ma oltre il 60% dei dispositivi Android è bloccato su dispositivi che non riceveranno alcuna correzione per la sicurezza.
Perché Google non sta aggiornando il browser di Android 4.3
Gli aggiornamenti del sistema operativo Android sono un disastro. I produttori emettono un numero enorme di telefoni diversi e modificano il codice in modo estensivo. Google non può semplicemente aggiornare il sistema operativo sul tuo dispositivo: può solo emettere un nuovo codice e sperare che il produttore del dispositivo e il tuo gestore di telefonia mobile facciano il difficile lavoro per ottenerlo.
Tradizionalmente, la maggior parte dei componenti Android sono stati integrati a livello di sistema operativo. Ciò include il browser Web incorporato, denominato "Browser". È importante sottolineare che il browser stesso e il motore di rendering sottostante sono integrati nel sistema operativo. Il motore del browser viene utilizzato in ogni app Android che utilizza un browser Web incorporato, noto come "WebView".
Questo browser integrato si basa su una vecchia versione di WebKit e ne è stata recentemente scoperta una grave anomalia che è stata segnalata a Google. Google non ha modo di fornire un aggiornamento direttamente agli utenti Android per risolvere questo problema. Deve essere corretto tramite un aggiornamento del sistema operativo, che richiede che i produttori ei vettori di dispositivi eseguano il lavoro.
Purtroppo, anche quando Google stava rilasciando il codice di aggiornamento della sicurezza per il browser Android 4.3, molti produttori di dispositivi potrebbero non aver spedito le correzioni ai propri utenti. L'unica cosa che salva è che molti dispositivi Android sono stati spediti con Google Chrome e gli utenti sono al sicuro durante l'utilizzo di Chrome su quei dispositivi, ma, ancora una volta, non mentre utilizzano altre app con browser Web incorporati.
La maggior parte degli utenti Android è bloccata, ma Android 4.4 e Newer sono risolti
Google ha lavorato per rendere meno importanti gli aggiornamenti del sistema operativo Android, rompendo più funzionalità dal sistema operativo principale in modo che possano essere aggiornate tramite Google Play. In Android 4.4, il browser integrato può essere rapidamente aggiornato dai produttori di dispositivi con una piccola patch. In Android 5.0, il browser viene aggiornato da Google direttamente tramite Google Play.
Ma oltre il 60% dei dispositivi utilizza Android 4.3 e versioni precedenti, in base ai numeri di Google. Google non ha rilasciato una "patch" per Android 4.3, ma, se lo facessero, spetterebbe ai produttori di telefoni e ai gestori di telefonia mobile di implementarlo. In realtà, Google considera i dispositivi di aggiornamento ad Android 4.4 come la soluzione e i produttori di dispositivi dovrebbero invece lavorarci.
Non intendiamo assolvere Google qui. Costruire il browser in profondità nel sistema operativo in modo che non possa essere aggiornato rapidamente per risolvere i problemi di sicurezza è stata una decisione terribile, e possiamo solo essere grati per aver cambiato il modo in cui le versioni moderne di Android funzionano. I produttori di dispositivi e gli operatori di telefonia mobile meritano molta della colpa di non aggiornare tempestivamente i dispositivi. Se hai un telefono acquistato su un contratto di due anni, dovrebbero almeno aggiornare il dispositivo con aggiornamenti di sicurezza per la durata del contratto!
Come stare sicuri su Android 4.3 e versioni precedenti
Ma questo non è solo un interessante dibattito tra Google e i professionisti della sicurezza online. La realtà è che la maggior parte degli utenti Android utilizza un browser vulnerabile e potresti essere uno di loro. Ecco cosa puoi fare per rimanere il più sicuro possibile:
- Installa e utilizza un browser Web diverso: Non utilizzare l'app "Browser" integrata per navigare sul Web. Invece, installa un browser come Mozilla Firefox o Google Chrome da Google Play. Chrome funziona solo su Android 4.0 e versioni successive, ma Mozilla Firefox funziona ancora su Android 2.3 Gingerbread. Questi browser includono i propri motori di rendering, quindi non utilizzano il motore del browser del sistema. Inoltre sono frequentemente aggiornati tramite Google Play. Probabilmente troverai questi browser più veloci del browser integrato se hai un dispositivo vecchio con il codice del browser integrato più vecchio, comunque!
- Evita la navigazione con browser Web incorporati: L'uso di un browser di terze parti non risolverà tutto, poiché rischierai comunque se utilizzi un browser Web incorporato in un'app, che utilizza la "WebView" del sistema, che è vulnerabile. Evita di navigare con i browser integrati se hai una versione vulnerabile di Android. Attenersi a un'app browser dedicata come Firefox o Chrome.
Google ha effettivamente consigliato agli sviluppatori di app Android di raggruppare i motori dei browser nelle loro app su Android 4.3 e versioni precedenti. Questo è l'unico modo in cui possono garantire che i loro browser integrati siano sicuri e protetti. Questo è un vero e proprio attacco al codice del browser in decomposizione in Android stesso. È una raccomandazione piuttosto pazza, ma gli sviluppatori potrebbero volerlo considerare, specialmente se la sicurezza è particolarmente importante per l'app.
Quindi quanto di un rischio è questo, davvero? Bene, non abbiamo ancora sentito nessuno che lo stia sfruttando. Ma il chiaro segnale di Google che il 60% di tutti gli attuali dispositivi Android non riceveranno patch di sicurezza del browser è sicuramente stato benvenuto agli aggressori.Ci aspettiamo di vedere gli exploit del browser Android farsi strada in varie raccolte di exploit di massa, poiché Google abbandonando il browser utilizzato sulla maggior parte dei dispositivi Android lascia un buco che può essere sfruttato liberamente senza il rischio che le patch risolvano i problemi.
È un po 'come i problemi di sicurezza con Windows XP ancora in uso - se Windows XP era ancora utilizzato dalla maggior parte degli utenti quando veniva abbandonato. Sì, l'ecosistema Android è un disastro. Dovrebbe essere possibile per Google ottenere gli aggiornamenti della sicurezza del browser per i propri utenti, ma non lo è.
