image

Google vindt patchen oude Androidversies niet praktisch

maandag 26 januari 2015, 11:30 door Redactie, 13 reacties
Laatst bijgewerkt: 26-01-2015, 16:02

Na een golf van kritiek die onlangs ontstond omdat Google geen WebView-updates meer voor oudere Android-versies uitbrengt heeft de zoekgigant eindelijk uitgelegd waarom het dit niet meer doet. Het zou namelijk niet praktisch zijn. De standaard Androidbrowser is gebaseerd op de WebKit rendering engine, die wordt gebruikt voor WebView. Dit is een belangrijk onderdeel van Android voor het weergeven van webpagina's.

WebView is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. Onlangs werd bekend dat voor Android Jelly Bean (versie 4.3) en ouder geen WebView-updates meer verschijnen. Dat komt neer op 60% van de Android-toestellen, of zo'n 900 miljoen toestellen. WebView-lekken kunnen echter grote impact hebben en in het verleden zijn er al verschillende kwetsbaarheden in dit onderdeel aangetoond.

Onderzoekers waren dan ook verbaasd toen bleek dat Google deze problemen niet meer in oudere Android-versies patcht. "WebKit bestaat uit meer dan 5 miljoen regels code en honderden ontwikkelaars voegen elke maand duizenden nieuwe commits toe, dus in sommige gevallen vereist het toevoegen van een beveiligingsupdate aan een meer dan twee jaar oude branch van WebKit aanpassingen aan grote delen van de code en is het niet langer meer praktisch om dit veilig te doen", aldus Android-engineer Adrian Ludwig op Google Plus.

Maatregelen

Ludwig merkt op dat als meer mensen naar een nieuwere Android-versie upgraden of een nieuw toestel krijgen het aantal kwetsbare gebruikers steeds kleiner wordt. In het geval gebruikers niet naar een nieuwere Android-versie kunnen upgraden geeft de Android-engineer het advies om een browser te gebruiken die via Google Play wordt geüpdatet en applicaties te gebruiken die security best practices toepassen door alleen content in WebView te laden die van betrouwbare bronnen afkomstig is.

Beveiligingsonderzoeker Todd Beardsley van beveiligingsbedrijf Rapid7, die het patchbeleid van WebView-lekken door Google openbaar maakte, vraagt aan Ludwig welke advertentienetwerken te vertrouwen zijn om in WebView te gebruiken. "Misschien zou een door Google gesponsorde audit van deze advertentieaanbieders nodig zijn? Of is dat al gedaan?", zo vraagt hij aan aan de Android-engineer, die nog geen antwoord heeft gegeven.

Reacties (13)
26-01-2015, 11:32 door [Account Verwijderd]
[Verwijderd]
26-01-2015, 11:55 door Anoniem
In Nederland heb je recht op een goed werkend product. Niemand gaat echter naar de rechter om een veiligheidslek in consumentenelektronica te laten oplossen door de verkopende partij... Helaas.
Ik hoop dat er bij een bekende amerikaan of zo gevoelige plaatjes en tekstjes digitaal worden 'gestolen' van een telefoon die niet gepatcht is en er een leuke mediagenieke rechtszaak komt.

De golf van kritiek op de aankondiging van Google om niet te patchen is natuurlijk terecht. Het komt er gewoon neer op OPZET, onwil en aanvaarding van risico; Google weigert een redelijke package manager in het "op linux gebaseerde" Android te maken. YUM en Apt achtige oplossingen heeft blijkbaar niemand nodig voor een telefoon volgens Google... Kom ook niet aanzetten met verhalen over drivers, want die zijn tegenwoordig in userland te draaien, die hoeven niet in de kernel, waardoor upgrades tegenwoordig probleemloos kunnen worden doorgevoerd.

Het grote probleem in met Android smartphones is overigens niet het updaten door Google, maar het NOOIT doorgeven van software updates en upgrades van de grote OEMs. Hoeveel procent van de telefoons heeft ooit een nieuwe versie van android software gehad van Samsung, Sony of een van de andere grote merken?
Het is van de zotte dat geïnformeerde consumenten moeten vragen of er "firmwares" van derde partijen als cyanogenmod zijn voor een nieuw aan te schaffen smartphone!
26-01-2015, 12:12 door johanw - Bijgewerkt: 26-01-2015, 12:14
Fijn, betekend dit dat alle Android toestellen die 4.2 of lager draaien nu makkelijk te rooten zijn? Want helaas is tegenwoordig op de steeds meer dichtgetimmerde telefoons een lokaal exploit eerder een plus dan een min.

Als je root hebt kun je meteen een adblocker installeren, dan heb je geen last meer van besmette (of andere) advertenties.
26-01-2015, 12:16 door Anoniem
End of Life van een operating systeem is bij android tamelijk onvoorspelbaar. Slechte zaak dat daardoor je apparaat in no time waardeloos wordt.

Dat er nu eens opgeruimd wordt in al die oude versies schept in ieder geval wel duidelijkheid en voorkomt dat je overal nog apparaten met een oud os zal kunnen kopen.

Jammer alleen dat weinig verkochte apparaten in een upgrade-cyclus mee kunnen draaien.

Zijn die tablets nu zo snel technisch verouderd ?
Zou toch meer toekomstbestendig moeten zijn !

Waarom geen hardware-eisen stellen vanuit android community die ondersteuningsmogelijkheid garandeert gedurende minimaal 4 jaar.

Situatie met windows is onvergelijkbaar: dat betreft een systeem dat niet EOL is.
26-01-2015, 12:27 door ph-cofi - Bijgewerkt: 26-01-2015, 12:28
Volgens mij betekent dit dat we geen telefoons meer moeten kopen die door de fabrikant zijn dichtgetimmerd en waarvan de fabrikant geen updates meer levert.

Stock android voortaan, gesupport door Google. Die de gebruikers een updatemanager moet bieden in Android.

Onze Asus Nexus tablets van 2 jaar terug krijgen keurig updates toegestopt en draaien Android 5.
26-01-2015, 13:43 door Mysterio
Google zuigt en is hypocriet. Maar ja, het zijn Amerikanen hè.
26-01-2015, 14:31 door Anoniem
Dit is hetzelfde als zeggen "2 + 2 = 4". Niet iedere fix is te backporten. Zelfs als dit al mogelijk is is dit erg veel werk. Als software developer snap ik 100% waarom Google deze uitspraak maakt.
26-01-2015, 15:10 door Anoniem
Het probleem is ook dat webview een OS-component is, en geen door google play services updatebaar pakket.
Dit maakt het voor google onmogelijk de fix te verspreiden; na het repareren van de fouten is het namelijk aan de fabrikant om deze door te voeren.
En aangezien het hier om inherent oude versies van android (immers, ze hebben ook al geen updates naar 4.4 gekregen), is het zeer (hoogst, uiterst, enorm) onwaarschijnlijk dat de fabrikanten deze update wél gaan publiceren voor hun devices.
26-01-2015, 15:23 door Anoniem
Door Anoniem: Dit is hetzelfde als zeggen "2 + 2 = 4". Niet iedere fix is te backporten. Zelfs als dit al mogelijk is is dit erg veel werk. Als software developer snap ik 100% waarom Google deze uitspraak maakt.

Backporten levert daarnaast vaak nieuwe bugs op. Een aantal daarvan zullen ook weer wetsbaarheden veroorzaken.

Het probleem wordt niet zo zeer veroorzaakt door Googel maar door, zoals ph-cofi zegt, door de leveranciers van telefoons die moedwillig (security) updates onmogelijk maken. Google heeft altijd aangegeven dat die fabrikanten de basis software zo moeten gebruiken dat updates mogelijk zijn. Dat willen zij niet.

Ik heb bij de ACM al een klacht ingediend over een fabrikant die binnen de economische levensduur van de telefoon weigert updates te verschaffen. Zelfs niet voor fouten die aantoonbaar aanwezig waren bij aanschaf van het toestel. Dat valt gewoon onder de garantie. Toch?

Peter
26-01-2015, 16:11 door Anoniem
OS-componenten die niet te upgraden zijn... Zie een reactie hierboven: Google vindt het niet nodig om in het op linux gebaseerde Android een normale package manager te bouwen.
Dacht je dat het niet mogelijk was een computer met Ubuntu, RedHat of iets anders te upgraden? Een smartphonetje met Android is in weze niet echt anders dan een notebookje, maar dan met een Google software distributie.
26-01-2015, 18:38 door Anoniem
Tja, zo smart is het hebben van zo'n fony niet.
Updaten betekent elke 2 jaar een nieuwe kopen.
Precies parallel aan de afloop van je veel te dure abonnement.
Dat alles om je geoplaatsjes en je otofotootjes licentievrij te kunnen afstaan aan mr. '"They trust me — dumb fucks," .
Goedkoop & duurkoop.
Cheese!
26-01-2015, 18:50 door Anoniem
Collectieve groepbashing...
Android is van Google, jou telefoon van jouw provider of de fabrikant. Google heeft snel update ter beschikking. Dat jouw gsm fabrikant geen onderhoud wil plegen is niet de schuld van Google.
Ik heb een telefoon en daar draait nog steeds 4.2.2 op terwijl deze al lang op 5.0.1 had kunnen lopen.

Gsm fabrikanten boeit het allemaal niet. De gsm is verkocht. Daarmee hebben zij omzet en winst gemaakt. Onderhoud kost alleen maar geld.

Z9lang jij niet klaagt bij LG Sony Samsung HTC enz, gaat er niets veranderen.
27-01-2015, 16:58 door Anoniem
Dus dan maar geen dure android smartphone kopen van sony;samsung,LG,Motorola die een paar honderd euro kost,in plaats daarvan een goedkoop (chinees) merk android smartphone van rond de 100 euro.Is er een veiligheidsprobleem zoals nu met die webview dan mieter je hem in de vuilnisbak en koop je voor rond de 100 euro een nieuwe phone met de recentste android versie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.