Sự cố này được khắc phục trong Android 4.4 và 5.0, nhưng hơn 60% thiết bị Android bị kẹt trên các thiết bị sẽ không nhận được bất kỳ bản sửa lỗi bảo mật nào.
Tại sao Google không vá bản trình duyệt của Android 4.3
Cập nhật hệ điều hành Android là một mớ hỗn độn. Các nhà sản xuất đưa ra một số lượng lớn các điện thoại khác nhau và sửa đổi mã một cách rộng rãi. Google không thể cập nhật hệ điều hành trên thiết bị của bạn - họ chỉ có thể đưa ra mã mới và hy vọng nhà sản xuất thiết bị và nhà cung cấp dịch vụ di động của bạn làm hết sức để mang nó đến cho bạn.
Theo truyền thống, hầu hết các thành phần Android đã được nướng ở cấp hệ điều hành. Điều này bao gồm trình duyệt web tích hợp, được đặt tên là “Trình duyệt”. Quan trọng hơn, chính Trình duyệt và công cụ hiển thị cơ bản được tích hợp vào hệ điều hành. Công cụ trình duyệt được sử dụng trong mọi ứng dụng Android sử dụng trình duyệt web được nhúng, được gọi là "WebView".
Trình duyệt tích hợp này dựa trên phiên bản cũ của WebKit và một lỗ hổng nghiêm trọng gần đây đã được phát hiện trong đó và được báo cáo cho Google. Google không có cách nào cung cấp bản cập nhật trực tiếp cho người dùng Android để khắc phục sự cố này. Nó phải được sửa chữa thông qua một bản cập nhật hệ điều hành, đòi hỏi các nhà sản xuất thiết bị và các hãng vận hành thực hiện công việc.
Đáng buồn thay, ngay cả khi Google phát hành mã cập nhật bảo mật cho trình duyệt của Android 4.3, nhiều nhà sản xuất thiết bị có thể thậm chí không gửi bản sửa lỗi cho người dùng của họ. Ân điển tiết kiệm duy nhất là nhiều thiết bị Android đã được vận chuyển bằng Google Chrome và người dùng an toàn khi sử dụng Chrome trên các thiết bị đó - nhưng, một lần nữa, không sử dụng các ứng dụng khác có trình duyệt web được nhúng.
Hầu hết người dùng Android bị mắc kẹt, nhưng Android 4.4 và mới hơn đã được khắc phục
Google đã nỗ lực làm cho các bản cập nhật hệ điều hành Android trở nên ít quan trọng hơn, phá vỡ nhiều tính năng hơn trong hệ điều hành cốt lõi để chúng có thể được cập nhật thông qua Google Play. Trong Android 4.4, trình duyệt tích hợp có thể được các nhà sản xuất thiết bị cập nhật nhanh chóng bằng một bản vá nhỏ. Trong Android 5.0, trình duyệt được Google cập nhật trực tiếp thông qua Google Play.
Nhưng hơn 60% thiết bị đang sử dụng Android 4.3 trở xuống, theo số liệu riêng của Google. Google đã không phát hành một "bản vá" cho Android 4.3, nhưng - nếu họ đã làm - đó là tùy thuộc vào nhà sản xuất điện thoại và nhà cung cấp dịch vụ di động để giới thiệu. Thực sự, Google thấy việc cập nhật thiết bị lên Android 4.4 là bản sửa lỗi và nhà sản xuất thiết bị nên làm việc trên đó thay thế.
Chúng tôi không có ý định tha thứ cho Google ở đây. Xây dựng trình duyệt sâu vào hệ điều hành để không thể cập nhật nhanh chóng để khắc phục các lỗ hổng bảo mật là một quyết định khủng khiếp và chúng tôi chỉ biết ơn họ đã thay đổi cách thức các phiên bản Android hiện đại hoạt động. Các nhà sản xuất thiết bị và nhà cung cấp dịch vụ di động xứng đáng bị đổ lỗi vì không cập nhật thiết bị kịp thời. Nếu bạn mua điện thoại theo hợp đồng hai năm, ít nhất họ nên cập nhật thiết bị với các bản cập nhật bảo mật cho thời lượng hợp đồng!
Cách giữ an toàn trên Android 4.3 và các phiên bản trước
Nhưng đây không chỉ là một cuộc tranh luận thú vị giữa Google và các chuyên gia bảo mật trực tuyến. Thực tế là hầu hết người dùng Android đang sử dụng trình duyệt web dễ bị tấn công và bạn có thể là một trong số họ. Dưới đây là những gì bạn có thể làm để giữ an toàn nhất có thể:
- Cài đặt và sử dụng trình duyệt web khác: Không sử dụng ứng dụng "Trình duyệt" được tích hợp sẵn để duyệt web. Thay vào đó, hãy cài đặt trình duyệt như Mozilla Firefox hoặc Google Chrome từ Google Play. Chrome chỉ hoạt động trên Android 4.0 trở lên, nhưng Mozilla Firefox vẫn hoạt động trên Android 2.3 Gingerbread. Các trình duyệt này bao gồm công cụ hiển thị của riêng chúng, do đó chúng không sử dụng công cụ trình duyệt của hệ thống. Chúng cũng được cập nhật thường xuyên qua Google Play. Có thể bạn sẽ thấy các trình duyệt này nhanh hơn trình duyệt tích hợp nếu bạn có thiết bị cũ hơn có mã trình duyệt tích hợp sẵn hơn!
- Tránh duyệt web với trình duyệt web nhúng: Chỉ cần sử dụng trình duyệt của bên thứ ba sẽ không khắc phục được mọi thứ, vì bạn vẫn sẽ gặp rủi ro nếu bạn sử dụng trình duyệt web được nhúng trong ứng dụng - những ứng dụng này sử dụng "WebView" của hệ thống, dễ bị tổn thương. Tránh duyệt bằng trình duyệt được nhúng nếu bạn có phiên bản Android dễ bị tấn công. Dính vào một ứng dụng trình duyệt chuyên dụng như Firefox hoặc Chrome.
Google thực sự đề nghị các nhà phát triển ứng dụng Android đóng gói các công cụ trình duyệt trong ứng dụng của họ trên Android 4.3 trở về trước. Đó là cách duy nhất họ có thể đảm bảo trình duyệt tích hợp của họ là an toàn và bảo mật. Đây là một hack bẩn xung quanh mã trình duyệt mục nát trong chính Android. Đó là một đề xuất khá điên rồ, nhưng các nhà phát triển thực sự có thể muốn xem xét điều này - đặc biệt nếu bảo mật đặc biệt quan trọng đối với ứng dụng.
Vì vậy, bao nhiêu rủi ro là điều này, thực sự? À, chúng tôi chưa từng nghe về bất kỳ ai khai thác nó. Nhưng tín hiệu rõ ràng của Google rằng 60% tất cả các thiết bị Android hiện tại sẽ không nhận được bản vá bảo mật trình duyệt chắc chắn đã được chào đón với những kẻ tấn công.Chúng tôi hy vọng rằng việc khai thác trình duyệt của Android sẽ xâm nhập vào các bộ sưu tập khác nhau của thị trường, vì Google bỏ qua trình duyệt được sử dụng trên hầu hết các thiết bị Android để lại lỗ hổng có thể được khai thác một cách tự do mà không có rủi ro.
Nó giống như vấn đề bảo mật khi vẫn đang sử dụng Windows XP - nếu Windows XP vẫn đang được sử dụng bởi phần lớn người dùng khi nó bị bỏ rơi. Có, hệ sinh thái Android là một mớ hỗn độn. Google có thể tải các bản cập nhật bảo mật trình duyệt cho người dùng của họ, nhưng không phải vậy.