Back

Waarom Google het veiligheidslek in Android niet aanpakt

Android smartphones en tablets met Android versie 4.3 (Jelly Bean) en ouder kampen met een veiligheidslek in hun WebView framework waardoor het apparaat gevoelig wordt voor hackers. Volgens Google is het zo goed als onmogelijk om dit probleem te verhelpen.

Wanneer een applicatie een website wil weergeven zonder een webbrowser te openen wordt er gebruik gemaakt van een ingebouwd framework namelijk WebView, als WebView gebruikt wordt voor een kwaadaardige website te openen kan dit zware gevolgen hebben voor het toestel. Sommige Android webbrowsers maken ook gebruik van WebView zoals Opera.

Adrian Ludwig, werknemer bij Google in de Android security afdeling, laat op zijn Google+ pagina weten waarom het zo goed als onmogelijk is voor Google om het probleem te verhelpen bij oudere apparaten. Doordat WebKit over ongeveer 5 miljoen regels code beschikt, is het enorm gecompliceerd deze efficient aan te passen in oudere versies. In theorie zou de patch meer problemen brengen dan te verhelpen en ook moet deze update geleverd worden door de makers van het toestel dus niet door google zelf. Het grootste probleem is dat veel Android toestellen weinig tot geen updates krijgen van de fabrikant.

“Software up to date te houden is een van de grootste uitdagingen in beveiliging. Google investeert hard om er zeker van te zijn dat Android en Chrome zo veilig as mogelijk zijn en dat vereist frequente updates. Met de hulp van Google brengen Android smartphone en tablet fabrikanten (OEMs) steeds sneller en op regelmatige basis updates en verkopen ze apparaten die over de meest recente Android versie beschikken. Wij voorzien patches voor de recentste android versie in het Android Open Source Project (AOSP)[https://source.android.com/] en voorzien Android partners met patches voor de twee recentste android versies.

WebView en de Browser veiligheid verbeteren is een van de vlakken waarop we enorme verbeteringen gemaakt hebben. Android 4.4 (KitKat) laat OEMs snel nieuwe binaire updates leveren voor WebView aangeboden door Google. In Android 5.0 (Lollipop) levert Google deze update zelf via Google Play dus is de gebruiker niet afhankelijk van de OEM om updates te krijgen. Tot voor kort boden we ook updates aan voor de versies van WebKit, waar WebView gebruik van maakt, voor Android 4.3 en ouder. WebKit op zich bestaat uit meer dan 5 miljoen regels code en honderden ontwikkelaars voegen hier maandelijks ongeveer duizend regels aan toe, dus in sommige omstandigheden als je patches aanbrengt op een 2+ jaar oude versie van WebKit zou het nodig zijn om in grote gedeelten van de code aanpassingen te maken wat niet praktisch nog veilig is. Met Android 4.4 is het aantal gebruikers dat gevaar lopen door de WebKit veiligheidslekken aanzienlijk aan het verminderen omdat toestellen geüpdatet worden of gebruikers een nieuw apparaat aanschaffen.”- Adrian Ludwig, via Google+

Sinds Android 4.4 is het zelfs makkelijker voor de fabrikant om updates voor services als WebView te leveren en sinds Android 5 gebeurt dit alles via Google Play waardoor gebruikers steeds over de recentste versie beschikt en de OEM hier niets voor hoeft te doen.

Voor gebruikers die Android 4.3 (Jelly Bean) of lager gebruiken raad Google aan om geen webpagina’s die geen encryptie (https) hebben met WebView te openen en verder enkel FireFox (vanaf Android 2.3) of Chrome (vanaf Android 4.0) als browser te gebruiken.

About the Author /

jan_vervloet@me.com

18, from the middle of nowhere, al vele jaren steevast geïnteresseerd in technologie. "If you can't love yourself, how in the hell you gonna love somebody else?" -Ru

Wat is jouw mening?...