Google оставила в беде 939 000 000 владельцев устройств под управлением Android

Артур
Google оставила в беде 939 000 000 владельцев устройств под управлением Android

Смартфоны под управлением Android, которые не работают на свежих версиях операционной системы, могут в 2015 году оказаться под ударом хакеров. Исследователи информационной безопасности предупреждают пользователей, что один из основных компонентов мобильной операционки больше не получает обновления. Речь идет об инструменте WebView в Android 4.3 Jelly Bean и более старых версиях, который компания Google решила забросить без предупреждения пользователей. Как следствие, две трети владельцев смартфонов под управлением Android, а именно 939 000 000 пользователей, остались без защиты со стороны разработчика платформы. Компонент WebView в Android позволяет приложениям отображать веб-страницы без необходимости открывать браузер или другую программу. Это используется в огромном количестве софта и рекламных сетях, а заодно пользуется популярностью среди хакеров. WebView можно сравнить с Internet Explorer на Windows — именно он в большинстве случаев становится вектором атаки для удаленного выполнения вредоносного кода в операционной системе. 

Важно понимать, что отсутствие обновлений WebView в Android 4.3 Jelly Bean и более старых версиях операционной системы не является абстрактной угрозой в неопределенном будущем. Атаки можно проводить уже сейчас, поскольку в наличии есть несколько общеизвестных эксплойтов. В Android 4.4 WebView был заменен на более современный движок, основанный на кодовой базе Chromium.  Проблема в том, что KitKat и Lollipop лишь на на 39.2% устройств. На всех остальных проблемный компонент не обновлялся так давно, что злоумышленникам удалось создать одиннадцать рабочих эксплойтов. Несколько дней назад они были включены в состав Metasploit и стали доступны публично, что позволяет использовать их для организации атак. Одной из ключевых причин пристального внимания хакеров к компоненту WebView является его способность взаимодействовать с другими частями Android, включая предоставление доступа к базовой функциональностью телефона.

Проблема усугубляется появлением потенциально вредоносных рекламных блоков в рекламной сети Google AdSense, осуществляющих принудительную отправку пользователя на сторонние страницы без каких-либо предупреждений или подтверждений. Это осуществляется получением JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением. В настоящее время данные баннеры используются в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнет отдавать код для использования уязвимостей и внедрения вредоносного кода. Более того, нет гарантий, что подобные атаки выборочно не осуществляются уже сейчас, поскольку вредоносный код может отдаваться только при обнаружении уязвимой версии браузера по идентификатору, а в остальных случаях происходит обычный редирект. Что важно, отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передается с сайта, минуя баннерную сеть. Это позволяет злоумышленникам  использовать уже размещенные и прошедшие подтверждение блоки для выполнения любого JavaScript-кода на любом сайте, участвующем в сети AdSense.

В этой ситуации хуже всего тот факт, что политика компании Google по отношению к старым версиям программного обеспечения не предусматривает разработку критических обновлений. Только если сообщения об уязвимостях сопровождаются уже готовыми патчами, есть шанс на исправление — Google  передаст нужную информацию партнерам и производителям. Android — операционная система с открытым исходным кодом, что подразумевает наличие технической возможности всем желающим приять участие в создании патчей. Однако шанс того, что каждый производитель возьмет их на вооружение и выпустит обновления для всех устройств под управлением Android 4.3 и старше, стремится к нулю. Да и вообще, не кажется ли странным такой подход, что исследователи безопасности одновременно с обнаружением ошибки и отправкой отчета в Google должны на энтузиазме заняться разработкой исправлений?

Несмотря на публикацию сведений об этой уязвимости крупнейшими СМИ, включая Forbes, компания Google пока не отреагировала на обвинения в создании потенциально опасной ситуации для миллионов пользователей из-за отсутствия обновлений WebView. Сотрудники корпорации смогли лишь предложить владельцам устройств обновиться на версию Android 4.4 и новее, где такой проблемы нет. Однако нужно ли говорить, что получение свежей прошивки совершенно не зависит от желания пользователей, каким бы сильным оно ни было? Единственным слабым утешением может быть тот факт, что в Android 5.0 Lollipop компонент WebView, равно как некоторые другие важные части операционной системы были отделены для возможности получения новых версий через Google Play, а не только с обновлением прошивки производителем устройства. Впрочем, не стоит также исключать возможность обнаружения уязвимостей в актуальных версиях операционной системы после окончания их жизненного цикла. Будет ли Google менять политику в плане выпуска критических исправлений, либо всегда миллионы смартфонов будут иметь шанс подвергнуться атакам злоумышленников?

По материалам Forbes и OpenNET
0

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

Іштван Чукран
0
Я не могу сказать что именно гугл виноват, они ведь исправили, производители не обновляют смарты
13 января 2015 в 15:25
#
–1
тоже самое можно сказать про Майкрософт, оставившего без поддержки пользователей виндовс 95, 98 и тп. например

Сообщение отправлено из мобильного приложения iGuides
13 января 2015 в 15:34
#
–7
Во первых 95,98 уже никто не пользуется. Максимум за что микрософту можно предьявить, так это за прекращение поддержки вин7, так как она одна из последних. И то майкрософт об этом предупредил пользователей, таким образом сказал " сливайте/не покупайте устроства которые не тащат 8 и выше. А гугл судя лишил 900+ лямов пользователей поддержи не обмолвившись словечком.

Сообщение отправлено из мобильного приложения iGuides
13 января 2015 в 15:41
#
cuantro
+620
Неудачный пример с Windows 7. Microsoft не прекратит выпуск критических обновлений для 7, даже после прекращения поддержки.

Сообщение отправлено из мобильного приложения iGuides
14 января 2015 в 09:42
#
Григорий
+60
Возможно, автор хотел сказать Windows XP... Ее поддержка прекращена почти год назад.
14 января 2015 в 17:35
#
+67
Учитывая заранее известные сроки окончания поддержки, поэтапные, к слову, а так же многочисленные возможности перехода на новые программные продукты, нельзя сравнивать отключение поддержки от указанных продуктов и деяния Google. Кроме того, платформа Windows, вследствие большей мощности аппаратной части, имеет возможность подключения сторонних систем антивирусной антихакерской защиты, с доступом ко всем программным компонентам. Смартфоны не имеют такой возможности, ибо постоянно активированные антивирусные модули потребляют довольно много энергии.
14 января 2015 в 01:16
#
+47
выкинул старый смарт на дроне 2.1, всё вычеркните меня с списка напишите правильно 938 999 999
13 января 2015 в 15:49
#
Bor™
+588
Вас таких адрюш 2... и так далее 9.100.000 ))))))

Сообщение отправлено из мобильного приложения iGuides
13 января 2015 в 17:55
#
Bor™
+588
*920.000.000 опечатался, пардон.

Сообщение отправлено из мобильного приложения iGuides
13 января 2015 в 17:56
#
+2
Готовьтесь зеленые
13 января 2015 в 15:53
#
+2
Только вчера прилетела обыграв на Nexus 7. Теперь я спокоен
13 января 2015 в 15:57
#
Дмитрий
+14
Ну это проблема того что выпускаеться огромное количества дешовых смартфонов спорного качества под одной и той же системой и все тут
Тут вина в жадности и все тут
Свои то самсунги она обделенными не оставит

Сообщение отправлено из мобильного приложения iGuides
13 января 2015 в 17:20
#
OneinchofAsh
+85
Конечно производители устройств на Android, с наибольшим количеством пользователей в мире забивают болт на устаревшие версии ОС, которым от 3-х и больше лет. Хотя на их месте я бы увеличил срок поддержки обновлениями хотя бы до 5 лет, как это делает Microsoft и Google.
13 января 2015 в 18:08
#
Aleksandr Orlov
+27
Что-то не очень понял где оставили в "беде" или "бедэ"?
13 января 2015 в 23:35
#
+189
это бэд-трип :)

Сообщение отправлено из мобильного приложения iGuides
14 января 2015 в 02:28
#
–6
Какая же все-таки это зерновая система, дырявая, глючная, старая... Вот вам результат открытого исходного кода, где вроде бы все бесплатно, но то бы быть на актуальной системе — покупай новый смартфоны, потому что производитель смартфона даже мне думает делать для тебя обновление.
Google хорошая компания, но для ОС их политка не подходит, я не пользователь андроид и очень рад. Мне жалко людей (по-старше) которые покупают телефоны и не очень разбираются в прошивках их версиях и так далее, они терпят больше всего...

Сообщение отправлено из мобильного приложения iGuides
14 января 2015 в 03:23
#
lehen
+1
Мне жалко людей (по-старше) которые покупают телефоны и не очень разбираются в прошивках их версиях и так далее, они терпят больше всего...

они ничего не терпят... :::для них Этого просто ничего нет -> листают фото и звонят, остальное от диавола )
18 января 2015 в 00:02
#