Bréking: biztonsági rést találtak az Android Böngészőjében! Lehet, hogy Ön is veszélyben van!

2014.09.22. 13:08 Yarner

Ahogy mondani szokták, "Mindenki nyugodjon le (...)". Pánikra semmi ok. 

dont-panic.png

Annyi történt, hogy a nyílt forráskódú klasszikus androidos böngészőben (becenevén AOSP-böngésző) kódjában felfeldeztek egy biztonsági rést, ami lehetővé teszi, hogy egy ravaszul megírt Javascript megkerülje a böngészőben a külön-külön megnyitott tabokat elválasztó határokat (Same Origin Policy) és így a fertőzött oldalon futó mocsok kis script szabadon gengszterkedhet a többi megnyitott ablakunk adataival is. jelszavak, cookie-k, mindenféle. 

Ez elég rosszul hangzik, miért ne essek pánikba? 

Hát, ha nagyon akarsz, azért megteheted.

okaypanic.png

Megfelelő szögből nézve elég nagy a baj, röviden minden, Kitkat (Android 4.4) alatti beépített Böngésző (általában ez a neve, esetleg Internet) veszélyeztetett lehet. 

google-nexus-one-1j3g-800.jpg

Ami miatt nem kell azonnal a szívedhez kapkodni viszont az, hogy jó eséllyel nem ezt a böngészőt használod. A WebKit-alapú AOSP böngésző alapvetően a régi androidos telefonokon fut, a 4.4-es rendszerben már a böngésző is Chromium-alapú lett, így ha friss a rendszered (bár ez a legtöbb esetben nem rajtad múlik) már alapból nem kell aggódnod. Ha nem a gyári böngészőt használod, valószínűleg szintén nincs mitől félned. Mi biztonságos? A legnagyobb nevek a Chrome, Opera, és a Firefox mind más motort használnak. A WebKit-alapú külső böngészők esetében előfordulhat a veszély, de a Google már kiadta a biztonsági frissítést a WebKithez, így várható, hogy kedvenc böngésződben is nagyon hamar megjelenik a befoltozott kód. Hogy éreztessük az arányokat: a Google Analytics adatai szerint mindössze a látogatóink 6%-a olvassa AOSP-böngészőről az Androlibet, ami valóban nem túl nagy mennyiség, bár statisztikailag létezik.

Ahol nem várhatunk frissítést, az a beépített böngésző, ami gyárilag érkezett a régebbi (tehát nem KitKatot futtató, vagy arra frissített) telefonok rendszerével - itt ugyanis teljes rendszerfrissítésre van szükség az egy szem Böngésző update-eléséhez, amit nem valószínű, hogy lesz kedve összerakni a gyártóknak. 

Tehát a tanulság: tessék más böngészőt használni, gyakorlatilag már minden Playről letölthető alkalmazás jobb élményt fog nyújtani, mint a régi. Nézz körül, használd ki a lehetőségeidet!

[Via: Android Authority, Ars Technica ]


Címkék: hírek böngésző android

A bejegyzés trackback címe:

https://androlib.blog.hu/api/trackback/id/tr276709309

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

na__most__akkor 2014.09.23. 12:21:27

böngésző, android, nagybetű...

Mellesleg:

"kedvenc böngésződben is nagyon hamar megjelenik a befoltozott kód"

"látogatóink 6%-a olvassa AOSP böngészőről az Androlibet, ami valóban nem túl nagy mennyiség, bár statisztikailag létezik"

"tt ugyanis teljes rendszerfrissítésre van szükség az egy szem Böngésző update-eléséhez, amit nem valószínű, hogy lesz kedve összerakni a gyártóknak."

----------------------------------
Egyre inkább kételkedek, hogy ismerem az anyanyelvemet. (magyar, ha nem tudnátok...)

Yarner · http://androlib.blog.hu 2014.09.23. 12:43:11

@na__most__akkor:

A nagybetűt egy helyen rontottam el, az elején az "androidos" szóban. Ezt javítom is, itt jogos az észrevétel. A "böngésző" úgy is, mint "internet böngésző" nem tulajdonnév, hanem egy szoftverkategória, így kisbetűs, egy esetben indokolt a nagybetű, ahol tulajdonnévként jelenik meg, arra a konkrét Böngésző nevű alkalmazásra gondolva. Mindkét nagybetűs esetben így használtam.
A melleslegben nem értem, mi a gondod, pontosítsd, hátha igazad lesz. (Stilisztikai észrevételeket csak ritkán szoktam jóváhagyni, a stílus a cikkíró dolga, amíg nem zavarja a szöveg érthetőségét. Sok stilisztikai elem a blog jellegéből adódik.)

bbnet1 2014.09.23. 14:01:03

Én használom a beépítettet.
És nem tudom, hogy most pánikoljak, vagy ne, mert NEM 4.4-es Androidom van. Sőt:

developer.android.com/about/dashboards/index.html#platform

Ez alapján a userek 75%-nak nem az van.
Az pedig nem derül ki a cikkből, hogy a javítást megkapja a 2.3.6-os, 4.2.2-es társadalom is, vagy majd csak akkor, ha újabb rendszerverzió települ a készülékére?
(Amire a 2.3.6-ost használó telefonok esetében, lássuk be, kevés az esély. A gyártóknak nem érdekük, hogy már eladott készülékeken naprakészen tartsák a szoftvert. Vegyen mindenki újat.)

Hogy miért használom a beépítettet?
- az Opera miniben nem jelennek meg rendesen az oldalak
- a chrome mindig "kifehéredik", ha elfelejtem leállítani az oldalak betöltését 85%-nál
... és itt vesztettem el a türelmem, hogy tesztelgessek, hibát keressek a fejlesztők helyett.

na__most__akkor 2014.09.23. 14:47:58

@Yarner: Köszönöm a választ. Tényleg.

Ritkaság, egyedi eset, unikum --- hogy egy blog szerzője válaszol, és így, normálisan...

Yarner · http://androlib.blog.hu 2014.09.23. 15:10:04

@na__most__akkor: Bevallom, szerzőként baromi fárasztóak tudnak lenni a kiigazító kommentek, lévén szinte minden posztra jut egy okos, aki helyre kívánja tenni az illetékes bloggert. Ingyen csinálom, munka mellett, becsúsznak bakik, és nem tesz jót a morálnak, ha csak erre kap visszajelzést az ember a munkája helyett.
Úgy vagyok vele, hogy ha nem arcozik nagyon az illető, akkor én sem leszek vele bunkó, és persze, ha jogos az észrevétel, azt ki is javítom. :-)

Yarner · http://androlib.blog.hu 2014.09.23. 15:13:03

@bbnet1: A chrome "kifehéredős" bugja egy ideig nálam is jelentkezett - valamelyik frissítéssel elmúlt a hiba, most jó. A Chromeot amúgy sokan nem szeretik az erőforrásigénye miatt - jó eséllyel este még beesik Darkcomet szóvá tenni, neki ez veszsőparipája.
Van power user ismerős, aki évek óta stabilan a Dolphinra esküszik, mély meggyőződéssel. Ja, és Operából sem csak a Mini van, az inkább adatspórolásra alkalmas, afféle kényszermegoldás az én szememben is.

Yarner · http://androlib.blog.hu 2014.09.23. 15:15:14

@bbnet1: Ja, és a cikkből elvileg kiderül, hogy a javítást csak az újabb rendszerverzióval lehet megkapni (ez a legtöbb készülék esetén sohanapján kiskedden várható), de lehet, hogy nem voltam elég explicit.

Darkcomet 2014.09.23. 17:11:51

@bbnet1: Maxthon, CM Browser, UC browser. A CM a legkisebb, és legújabb, folyamatos a frissítése. Mind a három egyébként kenterbe veri az ASOP böngészőt meg a Chromeot. Egy problema van csak, hogy a CM Orosz, a Maxthon és az UC meg kínai. Szóval a fene sem tudja, mit művelnek a háttérbe. De szerintem ha annyira sunyiskodnának bármibe is, az már régen kiderült volna.

bbnet1 2014.09.29. 12:53:08

Köszönöm mindenkinek a tanácsokat, kipróbálom valamelyiket. :)

Google+