Google stopt met WebView-patches voor Jelly Bean
Google zal geen patches meer voor WebView-lekken in Android Jelly Bean (4.3) en ouder uitbrengen, wat inhoudt dat bijna een miljard Android-gebruikers met kwetsbaarheden in het mobiele besturingssysteem blijven zitten. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven.
In het verleden zijn verschillende grote beveiligingslekken in WebView ontdekt. In Android KitKat (4.4) is WebView vervangen door een meer recente op Chromium-gebaseerde versie van WebView. Toch verwacht Tod Beardsley van beveiligingsbedrijf Rapid7 dat hiermee geen einde aan de lekken in de oude WeView-versie zal komen. 60% van de Android-toestellen draait namelijk op Jelly Bean en ouder.
Rapid7 heeft recentelijk een nieuwe versie van Metasploit uitgebracht die over 11 exploits beschikt om al deze gebruikers via WebView aan te vallen. Metasploit is een tool die door securityprofessionals en penetratietesters wordt gebruikt voor het testen van systemen en netwerken. Beardsley nam contact op met Google waarom oudere Android-versies geen updates voor WebView meer ontvangen. De zoekgigant stelt in een reactie dat het niet langer apparaten van derde partijen met de Android-browser wil certificeren.
Gevolgen
Google adviseert gebruikers dat het gebruik van de meest recente Android-versie de beste manier is om veilig te zijn. Het gaat hier om Lollipop, dat inmiddels op zo'n 0,1% van de Android-toestellen is geïnstalleerd. KitKat, de versie hierna, heeft een marktaandeel van zo'n 40%. "Dit houdt in dat de resterende 60% als "legacy" wordt beschouwd en geen beveiligingsupdate van Google meer ontvangt. In concrete aantallen lijkt het erop dat meer dan 930 miljoen Android-telefoons nu zonder officiële Google beveiligingsupdates zitten", aldus Beardsley.
De zoekgigant liet wel weten dat oude Android-versies nog wel updates voor andere onderdelen kunnen krijgen, zoals mediaspelers. "Dit is goed nieuws voor penetratietesters, want het stelen van bedrijfsgegevens van Android-telefoons zal in zeer veel gevallen kinderlijk eenvoudig worden." Beardsley verwacht dat het uitvoeren van penetratietests op mobiele telefoons steeds vaker voor zal komen. Daarnaast is het volgens de beveiligingsexpert ook goed nieuws voor criminelen, omdat die alles als potentieel doelwit zien.
Beardsley begrijpt de beslissing van Google om oude versies niet meer te ondersteunen, aangezien dit vaak een groot probleem voor softwareontwikkelaars is. "Een miljard mensen vertrouwen echter niet op mijn software om de persoonlijkste gegevens van hun leven te beschermen. In dat opzicht hoop ik dat Google de beslissing heroverweegt als het volgende grote privacylek openbaar wordt."
Google weigert nog steeds een normale package manager in het geweldige 'op linux gebaseerde' Android in te bouwen. Gebruikers van Android, dat zijn de grote OEMS en niet de consumenten die telefoontjes kopen, hoeven geen updates of ondersteuning te regelen. Koop maar een nieuwe telefoon.
Microsoft wel of niet Nokia doet het niet veel beter, met de recente nieuwe softwareversie die niet beschikbaar komt voor oudere modellen, waardoor die oudere modellen ook niet meer van moderne apps kunnen worden voorzien.
Google regelt voor de eigen Nexus lijn wel updates, maar dan moet je het doen zonder microsd slot voor extra geheugen en iedereen weet dat de telefoontjes geleverd worden met maar net genoeg opslag.
Ik heb ooit de fout gemaakt een smartphone van Samsung te kopen. Het ding draaide op Android 4.1 en heeft nooit een update gehad. Fool me once....
Nerds en fanbois kunnen intussen precies vertellen welke grijze import chinaphone wel fatsoenlijke derde-partij firmwares krijgt. De normale geïnformeerde oplettende consument is altijd, excusez le mot, de lul.
Dus er zijn meerdere plekken in de closed source wereld waar er vertraging kan zijn, en op geen enkel punt heeft de verantwoordelijke bijzonder veel incentive om met updates te kopen (want ze verdienen inmiddels op de verkoop van *nieuwe* hardware, en de gebruiker kijkt hier niet naar, helaas).
Microsoft wel of niet Nokia doet het niet veel beter, met de recente nieuwe softwareversie die niet beschikbaar komt voor oudere modellen, waardoor die oudere modellen ook niet meer van moderne apps kunnen worden voorzien.
En waarom niet? Ik dacht toch echt dat alle toestellen, zowel de Lumia 520 tem. Lumia 1520 de update naar Windows Phone 10 (of hoe het uiteindelijk gaat heten) zal krijgen.
Microsoft wel of niet Nokia doet het niet veel beter, met de recente nieuwe softwareversie die niet beschikbaar komt voor oudere modellen, waardoor die oudere modellen ook niet meer van moderne apps kunnen worden voorzien.
En waarom niet? Ik dacht toch echt dat alle toestellen, zowel de Lumia 520 tem. Lumia 1520 de update naar Windows Phone 10 (of hoe het uiteindelijk gaat heten) zal krijgen.
Microsoft of Nokia Lumia versie 7 naar 8 zet alvast een geweldig track record neer. Het is al even geleden dat het voor het eerst in het nieuws kwam, maar dit heeft mensen gebeten. Vertouwen komt te voet een gaat te paard. Reputatieschade is een feit. Helaas kan men verwachten dat verkopers in de grote electronicawinkels en telefoonhuizen alleen nieuw en hip willen verkopen en niets weten van de inhoud van de doos of de track record van de fabrikant.
De reactie van 16:24 geeft ook maar weer aan dat consumenten die niet met de portefeuille stemmen planned obsolescence maar moeten leren accepteren. Het dwaze geblaat dat drivers niet kunnen in linux of android is waanzin.
Het gebrek aan een goede package manager in Android kan ik niet zien als iets anders dan opzettelijke sabotage. Zelfs op windows kan een gebruiker software en updates installeren en verwijderen. Op linux zijn we al grotendeels voorbij de depency hell, en op windows is de dllhell ook niet meer een echt probleem. Yum en apt zijn niet heilig en er komt al weer iets handigers richting productieomgevingen. Drivertjes die closed source blijven kun je echt laten werken.
Helaas moet je net als bij een pc nu ook al je smartphone als oem computer zien en decrappifyen. Dat vereis root, en wordt wel een beetje ontmoedigd. het zou de Samsun of Sony of ander merk -'ervaring' missen en de telefoon degraderen tot een whitebox geval; beter voor de consument, niet voor de OEM. Kijk maar hoe populair "Sense" en dergelijk zouden zijn als je zou mogen installeren ipv opgedwongen krijgen.
@ 16:28 De linux kernel kan binary blob drivers los laden, en met systemd en dergelijke laat o.a. Red Hat zien dat drivertjes keurig los geladen kunnen worden in linux, zelfs in userland.
Samenvatting van het artikel: koop geen smartphone als je security belangrijk vind, of koop een smartphone die firmwares van derden krijgt die wel actueel blijven als security een beetje belangrijk voor je is.
Ook zo fijn dat Google een aantal security features heeft verwijderd in Webview onder versie 4.4., zoals client certificate support.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
