keskiviikko 14. tammikuuta 2015

Hei Google, paikkaa Android!

Google on viime aikoina näpäyttänyt Microsoftia julkaisemalla Windowsista löydettyjä tietoturva-aukkoja ennen kuin Microsoft on saanut päivityksen ulos.

Microsoft ei luonnollisestikaan pitänyt Googlen toimintatavoista koska julkaisut heikensivät miljoonien järjestelmien tietoturvaa.

Nyt vuorostaan Googlen omasta käyttöjärjestelmästä Androidista on löydetty vakava tietoturva-aukko WebKitin WebView-komponentista jota ohjelmat kutsuvat muun muassa silloin kun tahtovat avata selainikkunan ohjelman sisään.

Tietoturva-aukko WebKitissä:

Löydetty tietoturva-aukko on niin sanottu Cross Site Scripting tyyppinen. sitä hyödyntämällä hyökkääjällä on mahdollisuus lähettää Android laitteeseen omaa koodia jolla voidaan kaapata verkkosivu ja näyttää siten ruudulla hyökkääjän versio, ilman että käyttäjä pystyy tunnistamaan asiaa, näin hyökkääjä voi saada käyttäjältä haluamiaan tietoja kuten vaikkapa käyttäjätilien tunnustietoja.

Google: Emme tee virallista päivitystä:

Tietoturva-aukon vakavuudella ei näytä kuitenkaan olevan merkitystä Googlelle, sillä yhtiö on päättänyt että se ei tule itse tarjoamaan korjauspäivitystä komponenttiin mutta sallivat jonkun muun sellaisen kyhäävän, se on jopa mahdollista liittää Androidin avoimen lähdekoodin projektiin.

Syyksi yhtiö ilmoitti epäsuorasti sen että WebView on vanhentunutta tekniikkaa, eikä Google tarjoa korjauspäivityksiä vanhempiin versioihin kuin 4.4.

Google ilmoitti että se kyllä ilmoittaa löydetyn aukon OEM-valmistajille jotta he voivat halutessaan tehdä käyttöjärjestelmäänsä muutoksia.

Koskee noin 60 prosenttia koko Androidin laitekannasta:

Android 4.4 versiosta lähtien käyttöjärjestelmä ei enää käytä WebView-komponenttia vaan se on korvattu, joten niitä kyseinen tietoturva-aukko ei koske.

Kuitenkin yhtiön omien Androidin käyttöraporttien mukaan, Android 4.3 ja sitä aikaisempia versioita käyttää noin 60% kaikista aktiivisista Android laitteista joka taas kertoo siitä että tietoturva on Googlen päätöksen ansiosta heikentynyt sadoilla miljoonilla käyttäjiltä jotka kyseisiä laitteita käyttävät.

Päivittäkää vanhat uuteen ja uljaaseen!:

Google saattaa käyttää aukkoa jopa Android 5.0 version markkinoinnissa OEM-valmistajille, Lollipop on käytössä vain 0.1 prosentissa kaikista Android laitteista. Fakta joka ei ole Googlelle mieleen, päivitykset ja ohjelmistokehitys laahaa liiaksi perässä vanhempien ohjelmistoversioiden tukemisten vuoksi.

Julkisuus saa vauhtia korjauspäivitysten valmistukseen:

Täytyy kuitenkin mainita se että OEM-valmistajat ovat yleisesti hyvin laiskoja päivittämään kokonaista käyttöjärjestelmää yhden aukon vuoksi, ellei se sitten saa laajalti palstatilaa mediassa.

Jopa Google päivitti vanhempaa Android 4.1.1 käyttöjärjestelmää viimevuoden huhtikuussa Heartbleed aukon kitkemiseksi ja se johtui varmasti aukon saamasta medianäkyvyydestä, tarkkoja tilastoja ei kuitenkaan ole siitä kuinka moni OEM-valmistaja otti ja julkaisi pienen päivityksen omille laitteilleen.

Joten pieni toivonkipinä on sille vielä olemassa että myös tämä ongelma korjataan niin kuin kuuluu.  Don’t be evil Google!

LÄHDE: Ars Technica