Ignorerer eldre Android-sårbarheter

Google har fått kraftig kritikk fra Tod Beardsley i sikkerhetsselskapet Rapid7, etter at han oppdaget at Google ikke lenger vil tilby sikkerhetsoppdateringer til en viktig komponent i Android 4.3 og eldre.

I Android 4.3 Jelly Bean og eldre utgaver av operativsystemet er WebView-komponenten, som sørger for webstøtte til blant annet tredjepartsapplikasjoner, basert på WebKit. Med Android 4.4 ble hele WebView-komponenten erstattet med en helt ny som er basert på Chromium og Blink. I Android 5.0 ble WebView-komponenten derimot skilt ut av operativsystemet og oppdateres via Google Play, uavhengig av utrullingen av framtidige Android-versjoner.

I Android 4.3 Jelly Bean og eldre er også standardnettleseren, Android Browser, basert på den eldre WebView-komponenten. De fleste har dog mulighet til å benytte en annen og mer oppdatert nettleser.

Beardsley skriver at det i utgangspunktet ikke er noe uvanlig i å slutte å støtte programvare som er to versjonsnumre bak den nyeste hovedversjonen. De to nyeste hovedversjonene av Android er 4.4 og 5.0.

Berører fryktelig mange
Det som er spesielt med Android er at så mange fortsatt bruker eldre versjoner, når nyere versjoner har vært tilgjengelig i så lang tid. Android 4.4 ble utgitt i oktober 2013, men likevel brukes Android 4.3 og eldre av mer enn 60 prosent av brukerne. Det dreier seg om mange hundre millioner brukere.

Beardsley har vært i kontakt med Google, som har bekrefter at dette er situasjonen:

– Dersom den berørte utgave [av WebView] er fra før 4.4, utvikler vi generelt sett ikke patcher selv, men ønsker velkommen patcher til vurdering sammen med rapporten. Bortsett fra å varsle OEM-er, vil vi ikke gjøre noe annet ved rapporter som berører versjoner tidligere enn 4.4, dersom en patch ikke følger med, skriver Google i et svar på et tips om en sårbarhet i nettopp den berørte WebView-utgaven.

Fellesskapet
I praksis overlater Google nå det framtidige vedlikeholdet av den gamle WebView-komponenten til åpen kildekode-fellesskapet og de enkelte leverandørene av de berørte enhetene.

Ifølge Beardsley begrunner Google dette med at selskapet ikke lenger sertifiserer tredjepartsenheter som inkluderer Android Browser, og at den beste måten å sørge for sikkerheten til Android-enheter, er å oppdatere dem til den nyeste utgaven av Android.

Dette er i og for seg korrekt, men samtidig virker mer enn en anelse virkelighetsfjernt. De fleste brukere av enheter som ikke allerede har blitt tilbudt oppgradering til Android 4.4 eller nyere, vil nok ikke få denne muligheten i framtiden heller. Spørsmålet er om dette er Googles ansvar.

Samtidig er det nok også slik at mange av enhetene som i dag ikke kan oppgraderes til Android 4.4, heller ikke vil motta mindre oppdateringer fra leverandøren, inkludert sikkerhetsfikser i WebView – uavhengig av om det er Google som har utviklet dem eller ikke. Men sannsynligheten for slike oppdateringer har ikke blitt bedre uten Googles bidrag.

Beardsley ber nå Google om å ta opp denne avgjørelsen til ny vurdering. For det kan fort bli stygt dersom ondsinnede begynner å utnytte disse sårbarhetene hos potensielt en milliard brukere.

Google vil ifølge Beardsley har fått beskjed om, fortsatt utgi sikkerhetsfikser til de øvrige Android-komponentene i Jelly Bean og eldre.

Leave a Reply

Your email address will not be published.