Donner un sens à la dernière mise à jour de sécurité peur Android

TheHackerNews

Certains des plus grands publications du monde, y compris le Wall Street Journal et Forbes exécutez une histoire sur la façon dont Google est plus corriger les bugs de sécurité dans les anciennes versions d'Android. Le prix pour le titre le plus sensationnaliste va probablement Forbes pour "Google sous le feu pour Tranquillement Tuer Mises à jour critiques de sécurité Android pour près d'un milliard."

Un titre des mises à jour critiques de sécurité qui ne sont pas va être disponible pour environ un milliard de périphériques est suffisant pour inquiéter même les plus non technique de personnes. Avec des publications comme le WSJ et Forbes poussant cette histoire, je pense que nous pouvons officiellement appeler cela un «faire peur."

Tout a commencé avec un message par Tod Beardsley sur le blog Metasploit. Metasploit est un outil que les experts de sécurité utilisent pour tester différents ordinateurs et périphériques pour voir si elles sont sensibles à des failles de sécurité. L'outil Metasploit a une large audience dans le monde de la sécurité et il recueille une quantité énorme de respect. Tod Beardsley est lui-même un ingénieur respecté avec des années d'expérience de travail dans l'industrie de la sécurité. Il a souvent été conférencier lors de conférences sur la sécurité et est membre de l'IEEE.

La totalité de l'entreprise de distribution de correctifs est en aval un tout autre problème qui doit être abordé.

Tod a écrit un billet de blog sur la façon dont Google est plus accepter liés à la sécurité des correctifs pour la composante de WebView d'Android avant Android 4.4. La composante de WebView est un élément de base d'Android. Il permet à toute application de créer un mini navigateur web au sein de l'application elle-même. Cela peut être utile pour afficher du code HTML simple statique, comme l'aide ou des instructions, ou il peut être utilisé pour construire une application entière en utilisant HTML5 et javascript. Si une de ces applications fait connecter au Web pour télécharger du contenu ou à visiter un site alors le potentiel existe pour un pirate de tromper un utilisateur à ouvrir un site web qui exploite les bugs dans la WebView. Une fois exploité les pirates peuvent prendre le contrôle de l'appareil et installer des logiciels malveillants.

Par exemple, si vous utilisez un lecteur RSS qui repose sur l'utilisation de WebView comme un moyen de lire l'histoire complète d'un article figurant dans un flux RSS, alors il serait possible pour un attaquant d'obtenir une histoire publiée qui mène à un malveillant site. Le mini-navigateur Web dans le lecteur de RSS pourrait alors être exploitée, si elle est vulnérable.

Beardsley fait quelques mathématiques et démontre que certains 930 millions de terminaux Android ne reçoivent plus les patchs de sécurité de Google. Tout ce qui Beardsley a écrit l'exactitude des faits et la menace est réelle. "Sans avertissement ouvertement l'un des 939 millions affectés, Google a décidé de cesser de pousser les mises à jour de sécurité pour l'outil WebView sein Android à ceux sur Android 4.3 ou au-dessous», écrit Thomas Fox-Brewster pour Forbes.

Mais la situation ne soit pas aussi noir et blanc que Beardsley et Fox-Brewster suggèrent. Posez-vous cette question, à quand remonte la dernière fois que Samsung, HTC ou, ou LG ont affiché une mise à jour pour les appareils fonctionnant sous Android 4.1, 4.2 ou 4.3? Évidemment, je suis incapable de garder une trace de chaque mise à jour poussé par chaque entreprise dans le monde, donc je suis sûr qu'il y aura quelques exceptions à cela, mais la réponse est - rarement.

Même si Google fait de continuer à soutenir, seraient les dispositifs même l'obtenir?

Donc, même si Google a fixé le code source dans Android 4.3, les chances de arrivant sur un combiné réelle sont assez petites. Un des premiers commentaires sur le poste de Beardsley était par dr.dinosaur qui a écrit, «Même si Google fait de continuer à soutenir, seraient les dispositifs même l'obtenir? Comme vous l'avez mentionné, obtenir des mises à jour sur ces vieux appareils est pas un processus facile car il doit obtenir approuvé par le constructeur et approuvé par le transporteur, poussé à l'appareil lui-même, et téléchargé et installé par l'utilisateur. "

Tod reconnaît cela avec une réponse de suivi, "La totalité de l'entreprise de distribution des correctifs est en aval un tout autre problème qui doit être abordé. Cela dit, si les fabricants de téléphones portables ou les transporteurs ne sont pas ramasser correctifs Google-sourcés avant, Je doute de toute façon ils vont être plus rapide pour ramasser les correctifs de certains gars sur Internet ... "

Ce qui est vraiment rompu avec Android est pas si et quand Google fournit des correctifs pour Android, mais la «totalité de l'entreprise de distribution de correctifs aval.

Et son point est valable en ce que les équipementiers sont peu susceptibles de pick-up correctifs à PSBA de sécurité qui ont été publiés par des gens au hasard sur l'Internet. Mais il souligne également que les fabricants de téléphones portables ne sont pas ramasser correctifs Google-sourcés de toute façon. Ce qui est vraiment rompu avec Android est pas si et quand Google fournit des correctifs pour Android, mais «toute entreprise de distribution de correctifs en aval."

Google a fait beaucoup pour résoudre ce problème au cours des dernières années. Tout d'abord il a commencé de découplage différents composants et services de la principale build Android et en leur offrant des mises à jour via le Play Store. Pour Android 5.0 Lollipop, Google a également dégrouper la composante WebView et offrant que comme une mise à jour automatique du Play Store. Cela devrait arrêter la situation actuelle avec Android 4.3 produisent à l'avenir.

Si vous utilisez Android 4.x alors vous devriez envisager d'installer un navigateur comme Firefox ou Chrome pour vous faire du navigateur mobile principal

Deuxièmement, Google dispose de divers programmes comme la gamme Nexus et Android One, qui permettent aux gens d'acheter des combinés qui reçoivent les mises à jour directement à partir de Google. Le résultat est que le modèle de mise à jour en aval est en train de changer. Il est pas parfait par un long chemin, et alors que les constructeurs et les transporteurs restent lents dans les dispositifs de mise à jour alors le potentiel pour ce genre de problème existe toujours.

Il est également intéressant de mentionner que les firmwares alternatifs, comme CyanogenMod, probablement ramasser les correctifs de Google plus rapide que les équipementiers. Ainsi, techniquement toute personne exécutant CyanogenMod 10.x ne recevrez plus les mises à jour de sécurité, sauf si un ingénieur non-Google correctifs du code de PSBA ou CyanogenMod pour les vulnérabilités connues.

Si vous utilisez Android 4.x alors vous devriez envisager d'installer un navigateur comme Chrome ou Firefox pour faire votre principale navigation mobile, plutôt que d'utiliser le navigateur intégré. Cela permettra au moins vous assurer que vous êtes protégé contre les vulnérabilités connues lors de la navigation sur le web, indépendamment de ce que les correctifs sont disponibles pour votre version d'Android. Si vous utilisez une application qui ouvre un WebView pour se connecter à l'Internet, alors vous devriez envisager de trouver une alternative, à moins que l'application accède uniquement certaines URL codées en dur limitées.