Google vindt patchen oude Androidversies niet praktisch
Na een golf van kritiek die onlangs ontstond omdat Google geen WebView-updates meer voor oudere Android-versies uitbrengt heeft de zoekgigant eindelijk uitgelegd waarom het dit niet meer doet. Het zou namelijk niet praktisch zijn. De standaard Androidbrowser is gebaseerd op de WebKit rendering engine, die wordt gebruikt voor WebView. Dit is een belangrijk onderdeel van Android voor het weergeven van webpagina's.
WebView is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. Onlangs werd bekend dat voor Android Jelly Bean (versie 4.3) en ouder geen WebView-updates meer verschijnen. Dat komt neer op 60% van de Android-toestellen, of zo'n 900 miljoen toestellen. WebView-lekken kunnen echter grote impact hebben en in het verleden zijn er al verschillende kwetsbaarheden in dit onderdeel aangetoond.
Onderzoekers waren dan ook verbaasd toen bleek dat Google deze problemen niet meer in oudere Android-versies patcht. "WebKit bestaat uit meer dan 5 miljoen regels code en honderden ontwikkelaars voegen elke maand duizenden nieuwe commits toe, dus in sommige gevallen vereist het toevoegen van een beveiligingsupdate aan een meer dan twee jaar oude branch van WebKit aanpassingen aan grote delen van de code en is het niet langer meer praktisch om dit veilig te doen", aldus Android-engineer Adrian Ludwig op Google Plus.
Maatregelen
Ludwig merkt op dat als meer mensen naar een nieuwere Android-versie upgraden of een nieuw toestel krijgen het aantal kwetsbare gebruikers steeds kleiner wordt. In het geval gebruikers niet naar een nieuwere Android-versie kunnen upgraden geeft de Android-engineer het advies om een browser te gebruiken die via Google Play wordt geüpdatet en applicaties te gebruiken die security best practices toepassen door alleen content in WebView te laden die van betrouwbare bronnen afkomstig is.
Beveiligingsonderzoeker Todd Beardsley van beveiligingsbedrijf Rapid7, die het patchbeleid van WebView-lekken door Google openbaar maakte, vraagt aan Ludwig welke advertentienetwerken te vertrouwen zijn om in WebView te gebruiken. "Misschien zou een door Google gesponsorde audit van deze advertentieaanbieders nodig zijn? Of is dat al gedaan?", zo vraagt hij aan aan de Android-engineer, die nog geen antwoord heeft gegeven.
Ik hoop dat er bij een bekende amerikaan of zo gevoelige plaatjes en tekstjes digitaal worden 'gestolen' van een telefoon die niet gepatcht is en er een leuke mediagenieke rechtszaak komt.
De golf van kritiek op de aankondiging van Google om niet te patchen is natuurlijk terecht. Het komt er gewoon neer op OPZET, onwil en aanvaarding van risico; Google weigert een redelijke package manager in het "op linux gebaseerde" Android te maken. YUM en Apt achtige oplossingen heeft blijkbaar niemand nodig voor een telefoon volgens Google... Kom ook niet aanzetten met verhalen over drivers, want die zijn tegenwoordig in userland te draaien, die hoeven niet in de kernel, waardoor upgrades tegenwoordig probleemloos kunnen worden doorgevoerd.
Het grote probleem in met Android smartphones is overigens niet het updaten door Google, maar het NOOIT doorgeven van software updates en upgrades van de grote OEMs. Hoeveel procent van de telefoons heeft ooit een nieuwe versie van android software gehad van Samsung, Sony of een van de andere grote merken?
Het is van de zotte dat geïnformeerde consumenten moeten vragen of er "firmwares" van derde partijen als cyanogenmod zijn voor een nieuw aan te schaffen smartphone!
Als je root hebt kun je meteen een adblocker installeren, dan heb je geen last meer van besmette (of andere) advertenties.
Dat er nu eens opgeruimd wordt in al die oude versies schept in ieder geval wel duidelijkheid en voorkomt dat je overal nog apparaten met een oud os zal kunnen kopen.
Jammer alleen dat weinig verkochte apparaten in een upgrade-cyclus mee kunnen draaien.
Zijn die tablets nu zo snel technisch verouderd ?
Zou toch meer toekomstbestendig moeten zijn !
Waarom geen hardware-eisen stellen vanuit android community die ondersteuningsmogelijkheid garandeert gedurende minimaal 4 jaar.
Situatie met windows is onvergelijkbaar: dat betreft een systeem dat niet EOL is.
Stock android voortaan, gesupport door Google. Die de gebruikers een updatemanager moet bieden in Android.
Onze Asus Nexus tablets van 2 jaar terug krijgen keurig updates toegestopt en draaien Android 5.
Dit maakt het voor google onmogelijk de fix te verspreiden; na het repareren van de fouten is het namelijk aan de fabrikant om deze door te voeren.
En aangezien het hier om inherent oude versies van android (immers, ze hebben ook al geen updates naar 4.4 gekregen), is het zeer (hoogst, uiterst, enorm) onwaarschijnlijk dat de fabrikanten deze update wél gaan publiceren voor hun devices.
Backporten levert daarnaast vaak nieuwe bugs op. Een aantal daarvan zullen ook weer wetsbaarheden veroorzaken.
Het probleem wordt niet zo zeer veroorzaakt door Googel maar door, zoals ph-cofi zegt, door de leveranciers van telefoons die moedwillig (security) updates onmogelijk maken. Google heeft altijd aangegeven dat die fabrikanten de basis software zo moeten gebruiken dat updates mogelijk zijn. Dat willen zij niet.
Ik heb bij de ACM al een klacht ingediend over een fabrikant die binnen de economische levensduur van de telefoon weigert updates te verschaffen. Zelfs niet voor fouten die aantoonbaar aanwezig waren bij aanschaf van het toestel. Dat valt gewoon onder de garantie. Toch?
Peter
Dacht je dat het niet mogelijk was een computer met Ubuntu, RedHat of iets anders te upgraden? Een smartphonetje met Android is in weze niet echt anders dan een notebookje, maar dan met een Google software distributie.
Updaten betekent elke 2 jaar een nieuwe kopen.
Precies parallel aan de afloop van je veel te dure abonnement.
Dat alles om je geoplaatsjes en je otofotootjes licentievrij te kunnen afstaan aan mr. '"They trust me — dumb fucks," .
Goedkoop & duurkoop.
Cheese!
Android is van Google, jou telefoon van jouw provider of de fabrikant. Google heeft snel update ter beschikking. Dat jouw gsm fabrikant geen onderhoud wil plegen is niet de schuld van Google.
Ik heb een telefoon en daar draait nog steeds 4.2.2 op terwijl deze al lang op 5.0.1 had kunnen lopen.
Gsm fabrikanten boeit het allemaal niet. De gsm is verkocht. Daarmee hebben zij omzet en winst gemaakt. Onderhoud kost alleen maar geld.
Z9lang jij niet klaagt bij LG Sony Samsung HTC enz, gaat er niets veranderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
