Google gaat geen lekken meer dichten in verouderde versies van zijn Android-browsers. Dit bevestigt Google-medewerker Adrian Ludwig op zijn Google+-account. Het betreft de besturingssystemen tot en met Android 4.3. Reden voor de beslissing is dat de codes van deze versies te lang zijn, waardoor wijzigingen te omvangrijk en te tijdrovend zijn. Google raadt gebruikers van de oudere Android-besturingssystemen aan om ervoor te zorgen de browsers up-to-date zijn. Het bedrijf roept daarnaast ontwikkelaars op om content alleen nog via https te tonen.
De kwetsbaarheid zit in WebView en beïnvloedt toestellen die gebruikmaken van Android 4.3 (Jellybean) en ouder. Hierdoor lopen negenhonderd miljoen gebruikers wereldwijd een beveiligingsrisico. WebView is een onderdeel van het Android-besturingssysteem en zorgt ervoor dat applicatieontwikkelaars webpagina’s in apps kunnen weergeven zonder dat hiervoor een volledige browser nodig is.
Beveiligingsexperts zijn bang dat het niet patchen van dit lek tot gevolg heeft dat hackers gemakkelijk honderden miljoenen mensen kunnen aanvallen via hun mobiele devices. Volgens penetratietester Tod Beardsley van softwarebedrijf Metasploit draait zeker 60 procent van de Android-toestellen nog op een verouderde versie van het besturingssysteem. ‘Dit is goed nieuws voor penetratietesters, maar helaas ook voor cybercriminelen’, zo meent hij. Zo kunnen hackers volgens hem namelijk makkelijk bedrijfsdata van Android-devices stelen.
Teveel code
Volgens Google-medewerker Adrian Ludwig zal Google de kwetsbaarheid niet patchen, omdat de versie te oud is en daardoor uit teveel regels code bestaat. Volgens hem bestaat WebKit namelijk uit meer dan vijf miljoen regels aan code en worden hier bovendien elke maand duizenden nieuwe commits aan toegevoegd door honderden ontwikkelaars. ‘Dit maakt het niet langer praktisch om veilig patches toe te passen aan een meer dan twee jaar oudere tak van WebKit.’
Wel meent Ludwig dat de Android-gebruikers op verschillende manieren toch beschermd kunnen zijn tegen hackers. Zo kan men een geüpdate browser gebruiken en hij heeft het advies voor ontwikkelaars om alleen content nog over https weer te laten geven.
Mijns inziens is Google zelf een probleem, Android zou niet meer onder googles kontrolle moeten staan maar een zelfstandig FOSS projekt moeten zijn. Dat bespaart de vervuiling met een berg Google-bloatware die een normale gebruiker zonder rootrechten niet weg krijgt.
Ook overstappen naar cyanogenmod voor een normale gebruiker nog steeds te moeilijk.
is cyanogenmod een betere optie???
Dit topic werd al uitgebreid besproken… zie link
https://www.computable.nl/artikel/discussie/security/5216715/1276896/afkappen-van-androidpatches-raakt-bedrijven.html