Bréking: biztonsági rést találtak az Android Böngészőjében! Lehet, hogy Ön is veszélyben van!
Ahogy mondani szokták, "Mindenki nyugodjon le (...)". Pánikra semmi ok.
Annyi történt, hogy a nyílt forráskódú klasszikus androidos böngészőben (becenevén AOSP-böngésző) kódjában felfeldeztek egy biztonsági rést, ami lehetővé teszi, hogy egy ravaszul megírt Javascript megkerülje a böngészőben a külön-külön megnyitott tabokat elválasztó határokat (Same Origin Policy) és így a fertőzött oldalon futó mocsok kis script szabadon gengszterkedhet a többi megnyitott ablakunk adataival is. jelszavak, cookie-k, mindenféle.
Ez elég rosszul hangzik, miért ne essek pánikba?
Hát, ha nagyon akarsz, azért megteheted.
Megfelelő szögből nézve elég nagy a baj, röviden minden, Kitkat (Android 4.4) alatti beépített Böngésző (általában ez a neve, esetleg Internet) veszélyeztetett lehet.
Ami miatt nem kell azonnal a szívedhez kapkodni viszont az, hogy jó eséllyel nem ezt a böngészőt használod. A WebKit-alapú AOSP böngésző alapvetően a régi androidos telefonokon fut, a 4.4-es rendszerben már a böngésző is Chromium-alapú lett, így ha friss a rendszered (bár ez a legtöbb esetben nem rajtad múlik) már alapból nem kell aggódnod. Ha nem a gyári böngészőt használod, valószínűleg szintén nincs mitől félned. Mi biztonságos? A legnagyobb nevek a Chrome, Opera, és a Firefox mind más motort használnak. A WebKit-alapú külső böngészők esetében előfordulhat a veszély, de a Google már kiadta a biztonsági frissítést a WebKithez, így várható, hogy kedvenc böngésződben is nagyon hamar megjelenik a befoltozott kód. Hogy éreztessük az arányokat: a Google Analytics adatai szerint mindössze a látogatóink 6%-a olvassa AOSP-böngészőről az Androlibet, ami valóban nem túl nagy mennyiség, bár statisztikailag létezik.
Ahol nem várhatunk frissítést, az a beépített böngésző, ami gyárilag érkezett a régebbi (tehát nem KitKatot futtató, vagy arra frissített) telefonok rendszerével - itt ugyanis teljes rendszerfrissítésre van szükség az egy szem Böngésző update-eléséhez, amit nem valószínű, hogy lesz kedve összerakni a gyártóknak.
Tehát a tanulság: tessék más böngészőt használni, gyakorlatilag már minden Playről letölthető alkalmazás jobb élményt fog nyújtani, mint a régi. Nézz körül, használd ki a lehetőségeidet!
[Via: Android Authority, Ars Technica ]
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
na__most__akkor 2014.09.23. 12:21:27
Mellesleg:
"kedvenc böngésződben is nagyon hamar megjelenik a befoltozott kód"
"látogatóink 6%-a olvassa AOSP böngészőről az Androlibet, ami valóban nem túl nagy mennyiség, bár statisztikailag létezik"
"tt ugyanis teljes rendszerfrissítésre van szükség az egy szem Böngésző update-eléséhez, amit nem valószínű, hogy lesz kedve összerakni a gyártóknak."
----------------------------------
Egyre inkább kételkedek, hogy ismerem az anyanyelvemet. (magyar, ha nem tudnátok...)
Yarner · http://androlib.blog.hu 2014.09.23. 12:43:11
A nagybetűt egy helyen rontottam el, az elején az "androidos" szóban. Ezt javítom is, itt jogos az észrevétel. A "böngésző" úgy is, mint "internet böngésző" nem tulajdonnév, hanem egy szoftverkategória, így kisbetűs, egy esetben indokolt a nagybetű, ahol tulajdonnévként jelenik meg, arra a konkrét Böngésző nevű alkalmazásra gondolva. Mindkét nagybetűs esetben így használtam.
A melleslegben nem értem, mi a gondod, pontosítsd, hátha igazad lesz. (Stilisztikai észrevételeket csak ritkán szoktam jóváhagyni, a stílus a cikkíró dolga, amíg nem zavarja a szöveg érthetőségét. Sok stilisztikai elem a blog jellegéből adódik.)
bbnet1 2014.09.23. 14:01:03
És nem tudom, hogy most pánikoljak, vagy ne, mert NEM 4.4-es Androidom van. Sőt:
developer.android.com/about/dashboards/index.html#platform
Ez alapján a userek 75%-nak nem az van.
Az pedig nem derül ki a cikkből, hogy a javítást megkapja a 2.3.6-os, 4.2.2-es társadalom is, vagy majd csak akkor, ha újabb rendszerverzió települ a készülékére?
(Amire a 2.3.6-ost használó telefonok esetében, lássuk be, kevés az esély. A gyártóknak nem érdekük, hogy már eladott készülékeken naprakészen tartsák a szoftvert. Vegyen mindenki újat.)
Hogy miért használom a beépítettet?
- az Opera miniben nem jelennek meg rendesen az oldalak
- a chrome mindig "kifehéredik", ha elfelejtem leállítani az oldalak betöltését 85%-nál
... és itt vesztettem el a türelmem, hogy tesztelgessek, hibát keressek a fejlesztők helyett.
na__most__akkor 2014.09.23. 14:47:58
Ritkaság, egyedi eset, unikum --- hogy egy blog szerzője válaszol, és így, normálisan...
Yarner · http://androlib.blog.hu 2014.09.23. 15:10:04
Úgy vagyok vele, hogy ha nem arcozik nagyon az illető, akkor én sem leszek vele bunkó, és persze, ha jogos az észrevétel, azt ki is javítom. :-)
Yarner · http://androlib.blog.hu 2014.09.23. 15:13:03
Van power user ismerős, aki évek óta stabilan a Dolphinra esküszik, mély meggyőződéssel. Ja, és Operából sem csak a Mini van, az inkább adatspórolásra alkalmas, afféle kényszermegoldás az én szememben is.