image

Google stopt met WebView-patches voor Jelly Bean

maandag 12 januari 2015, 10:40 door Redactie, 10 reacties
Laatst bijgewerkt: 12-01-2015, 15:39

Google zal geen patches meer voor WebView-lekken in Android Jelly Bean (4.3) en ouder uitbrengen, wat inhoudt dat bijna een miljard Android-gebruikers met kwetsbaarheden in het mobiele besturingssysteem blijven zitten. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven.

In het verleden zijn verschillende grote beveiligingslekken in WebView ontdekt. In Android KitKat (4.4) is WebView vervangen door een meer recente op Chromium-gebaseerde versie van WebView. Toch verwacht Tod Beardsley van beveiligingsbedrijf Rapid7 dat hiermee geen einde aan de lekken in de oude WeView-versie zal komen. 60% van de Android-toestellen draait namelijk op Jelly Bean en ouder.

Rapid7 heeft recentelijk een nieuwe versie van Metasploit uitgebracht die over 11 exploits beschikt om al deze gebruikers via WebView aan te vallen. Metasploit is een tool die door securityprofessionals en penetratietesters wordt gebruikt voor het testen van systemen en netwerken. Beardsley nam contact op met Google waarom oudere Android-versies geen updates voor WebView meer ontvangen. De zoekgigant stelt in een reactie dat het niet langer apparaten van derde partijen met de Android-browser wil certificeren.

Gevolgen

Google adviseert gebruikers dat het gebruik van de meest recente Android-versie de beste manier is om veilig te zijn. Het gaat hier om Lollipop, dat inmiddels op zo'n 0,1% van de Android-toestellen is geïnstalleerd. KitKat, de versie hierna, heeft een marktaandeel van zo'n 40%. "Dit houdt in dat de resterende 60% als "legacy" wordt beschouwd en geen beveiligingsupdate van Google meer ontvangt. In concrete aantallen lijkt het erop dat meer dan 930 miljoen Android-telefoons nu zonder officiële Google beveiligingsupdates zitten", aldus Beardsley.

De zoekgigant liet wel weten dat oude Android-versies nog wel updates voor andere onderdelen kunnen krijgen, zoals mediaspelers. "Dit is goed nieuws voor penetratietesters, want het stelen van bedrijfsgegevens van Android-telefoons zal in zeer veel gevallen kinderlijk eenvoudig worden." Beardsley verwacht dat het uitvoeren van penetratietests op mobiele telefoons steeds vaker voor zal komen. Daarnaast is het volgens de beveiligingsexpert ook goed nieuws voor criminelen, omdat die alles als potentieel doelwit zien.

Beardsley begrijpt de beslissing van Google om oude versies niet meer te ondersteunen, aangezien dit vaak een groot probleem voor softwareontwikkelaars is. "Een miljard mensen vertrouwen echter niet op mijn software om de persoonlijkste gegevens van hun leven te beschermen. In dat opzicht hoop ik dat Google de beslissing heroverweegt als het volgende grote privacylek openbaar wordt."

Reacties (10)
12-01-2015, 11:37 door Anoniem
Ik ben dan wel een Google fan, in tegenstelling tot de meesten hier, maar vind dit weer een belachelijke keuze...
12-01-2015, 11:57 door Anoniem
Dom van google. Eerst lag de informatie op die telefoons alleen bij hun, straks bij iedereen...
12-01-2015, 12:06 door Anoniem
Juist. "Google adviseert gebruikers dat het gebruik van de meest recente Android-versie de beste manier is om veilig te zijn."

Google weigert nog steeds een normale package manager in het geweldige 'op linux gebaseerde' Android in te bouwen. Gebruikers van Android, dat zijn de grote OEMS en niet de consumenten die telefoontjes kopen, hoeven geen updates of ondersteuning te regelen. Koop maar een nieuwe telefoon.

Microsoft wel of niet Nokia doet het niet veel beter, met de recente nieuwe softwareversie die niet beschikbaar komt voor oudere modellen, waardoor die oudere modellen ook niet meer van moderne apps kunnen worden voorzien.

Google regelt voor de eigen Nexus lijn wel updates, maar dan moet je het doen zonder microsd slot voor extra geheugen en iedereen weet dat de telefoontjes geleverd worden met maar net genoeg opslag.

Ik heb ooit de fout gemaakt een smartphone van Samsung te kopen. Het ding draaide op Android 4.1 en heeft nooit een update gehad. Fool me once....

Nerds en fanbois kunnen intussen precies vertellen welke grijze import chinaphone wel fatsoenlijke derde-partij firmwares krijgt. De normale geïnformeerde oplettende consument is altijd, excusez le mot, de lul.
12-01-2015, 13:54 door Anoniem
Dit laat zien waarom het zo slecht is, dat de meeste android leveranciers er hun eigen laag bovenop zetten. De kosten om bestaande toestellen te testen voor evt. upgrades zijn nu (schijnbaar) te hoog. Dus veel mensen zitten met een verouderd OS op een nog goed werkend toestel en lopen zo onnodig risico's. Google zou hier iets aan kunnen doen, door andere voorwaarden te creeëren, maar overstappen naar andere systemen is ook een mogelijkheid. Hopelijk snapt de gemiddelde gebruiker dit ook.
12-01-2015, 16:24 door Anoniem
Vroeger was het zo dat je de pc, tablet en telefoon pas weggooide als je apparaat op was of versleten. Tegenwoordig gooi je hem weg als de software verouderd is. Gaat straks ook gebeuren met wasmachines en koelkasten. Mijn wasmachine van Miele is 3 jaar oud, maar de OS is verlopen en kan hem niet meer updaten, dus weg ermee.
12-01-2015, 16:28 door Anoniem
de 'eigen shell' van fabrikanten is niet het enige probleem wat betreft testen; er zijn ook talloze apparaten met hardware waar alleen propietary drivers voor zijn, en die dus ook niet altijd zo maar een update aan kunnen zonder dat de fabrikant van die specifieke chipsets op zijn beurt weer klaar is met driverupdates.

Dus er zijn meerdere plekken in de closed source wereld waar er vertraging kan zijn, en op geen enkel punt heeft de verantwoordelijke bijzonder veel incentive om met updates te kopen (want ze verdienen inmiddels op de verkoop van *nieuwe* hardware, en de gebruiker kijkt hier niet naar, helaas).
12-01-2015, 16:46 door Anoniem
Door Anoniem:

Microsoft wel of niet Nokia doet het niet veel beter, met de recente nieuwe softwareversie die niet beschikbaar komt voor oudere modellen, waardoor die oudere modellen ook niet meer van moderne apps kunnen worden voorzien.

En waarom niet? Ik dacht toch echt dat alle toestellen, zowel de Lumia 520 tem. Lumia 1520 de update naar Windows Phone 10 (of hoe het uiteindelijk gaat heten) zal krijgen.
12-01-2015, 19:21 door Anoniem
Door Anoniem:
Door Anoniem:

Microsoft wel of niet Nokia doet het niet veel beter, met de recente nieuwe softwareversie die niet beschikbaar komt voor oudere modellen, waardoor die oudere modellen ook niet meer van moderne apps kunnen worden voorzien.

En waarom niet? Ik dacht toch echt dat alle toestellen, zowel de Lumia 520 tem. Lumia 1520 de update naar Windows Phone 10 (of hoe het uiteindelijk gaat heten) zal krijgen.

Microsoft of Nokia Lumia versie 7 naar 8 zet alvast een geweldig track record neer. Het is al even geleden dat het voor het eerst in het nieuws kwam, maar dit heeft mensen gebeten. Vertouwen komt te voet een gaat te paard. Reputatieschade is een feit. Helaas kan men verwachten dat verkopers in de grote electronicawinkels en telefoonhuizen alleen nieuw en hip willen verkopen en niets weten van de inhoud van de doos of de track record van de fabrikant.

De reactie van 16:24 geeft ook maar weer aan dat consumenten die niet met de portefeuille stemmen planned obsolescence maar moeten leren accepteren. Het dwaze geblaat dat drivers niet kunnen in linux of android is waanzin.

Het gebrek aan een goede package manager in Android kan ik niet zien als iets anders dan opzettelijke sabotage. Zelfs op windows kan een gebruiker software en updates installeren en verwijderen. Op linux zijn we al grotendeels voorbij de depency hell, en op windows is de dllhell ook niet meer een echt probleem. Yum en apt zijn niet heilig en er komt al weer iets handigers richting productieomgevingen. Drivertjes die closed source blijven kun je echt laten werken.

Helaas moet je net als bij een pc nu ook al je smartphone als oem computer zien en decrappifyen. Dat vereis root, en wordt wel een beetje ontmoedigd. het zou de Samsun of Sony of ander merk -'ervaring' missen en de telefoon degraderen tot een whitebox geval; beter voor de consument, niet voor de OEM. Kijk maar hoe populair "Sense" en dergelijk zouden zijn als je zou mogen installeren ipv opgedwongen krijgen.

@ 16:28 De linux kernel kan binary blob drivers los laden, en met systemd en dergelijke laat o.a. Red Hat zien dat drivertjes keurig los geladen kunnen worden in linux, zelfs in userland.

Samenvatting van het artikel: koop geen smartphone als je security belangrijk vind, of koop een smartphone die firmwares van derden krijgt die wel actueel blijven als security een beetje belangrijk voor je is.
12-01-2015, 20:35 door Anoniem
In Android KitKat (4.4) is WebView vervangen door een meer recente op Chromium-gebaseerde versie van WebView.

Ook zo fijn dat Google een aantal security features heeft verwijderd in Webview onder versie 4.4., zoals client certificate support.
12-01-2015, 23:27 door Anoniem
Smerig van Google,het is dus beter om geen android smartphone te kopen.Ik vindt,net als in pc land (windows,linux,chromium) de keuze voor smartphone besturingssystemen te beperkt.Android is zeer kwetsbaar en google wil voor oudere android versies geen updates meer geven,windows daar schijnen ook problemen mee te zijn,symbian,bestaat dat besturingssysteem nog? Ook Blackberry kun je vergeten,kan schijnbaar ook vrij makkelijk gehacked worden en er is praktisch geen keuze meer in smartphone beveiliging voor een blackberry.Zijn er dan helemaal geen nieuwe OS voor smartphones op de markt? Linux mobile? Tails mobile? Android is gebaseerd op Linux,maar in handen van Google.Zijn er dan wellicht chinese smartphones die draaien op een chinees besturingssysteem (hopelijk niet alleen in het chinees beschikbaar?),en dus niet op dat verdraaide Android !?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.