Minulý týždeň,, výskumníci v oblasti bezpečnosti na serveri Alert Logic vydali kód na využitie prehliadača Android WebKit na telefónoch a zariadeniach so systémom Android 2.1 alebo starším. Zneužitie nie je najzávažnejším problémom, aký bol kedy vydaný - zdá sa, že niekomu, kto prevádzkuje webový server a počúva na určitom porte, má možnosť zobraziť históriu prehľadávača a mediálneho skenera - je však potrebné ho opraviť a rýchlo.
To je dôvod, prečo to spoločnosť Google opravila - na jar, keď bolo oznámené Froyo. Apple to tiež opravil. Nemôžem nájsť žiadnu dokumentáciu, ale som si istý, že HPalm urobil rovnako. Po prestávke o tom budem hovoriť trochu hlbšie. Vďaka Dave!
Používam Linux, takže by som mohol byť trochu unavený, len som to chcel povedať vopred. Predstavujem si, že o tomto zneužívaní a bezpečnostných dierach sa diskutovalo a zverejnilo tento týždeň na bezpečnostnej konferencii HouSecCon, ktorá sa konala v Houstone. Očakávam, že predajcovia aplikácií, správcovia jadra systému Linux, softvéroví inžinieri spoločnosti Microsoft, inžinieri spoločnosti Apple a všetci ostatní, ktorí sa podieľajú na tvorbe softvéru, budú pri ich opravovaní ťažko pracovať, vrátane ľudí pracujúcich na systéme Android. Každý, kto používa systém Windows alebo Mac OS alebo Linux, čoskoro dostane tieto opravy vo forme aktualizácií operačného systému. Spoločnosti ako Adobe alebo Mozilla budú mať čoskoro k dispozícii opravy.
Mobil je trochu iný. Používatelia iOS budú musieť v prípade potreby počkať trochu dlhšie, aby opravili akékoľvek diery v OS, ale akonáhle je to hotové, Apple to zavedie a každý môže trvať hodinu a aktualizovať, ak sa tak rozhodne. Ak je to potrebné, spoločnosť Google dostane aktualizáciu OTA používateľom Nexus One a všetky opravy pridelené do kódovej základne. Kvôli zložitosti mobilného operačného systému môže byť asi mesiac potrebné získať nejaké z týchto záplat a môžem s tým žiť.
Ale čo dopravcovia? Ak dnes pôjdem von a kúpim telefón s Androidom, je tu veľká šanca, že Froyo nebude fungovať. V závislosti od modelu nemusí byť Froyo nikdy spustený. To znamená, že prehliadanie internetu pomocou zabudovaného webového prehľadávača nie je bezpečné. Áno, povedal som to. Chyba je v kóde Webkit, takže je možné, že prehliadače tretích strán nie sú bezpečné. Čo od dopravcov očakávame, že urobíme, pretože v súčasnosti neponúkajú inú alternatívu?
Obchody s proprietárnymi aplikáciami a nadúvanie sú nepríjemné. Mnohí to nazývajú fragmentáciou, keď sú nositelia so zdrojovým kódom pre Android špinaví a opičí. Volám túto voľbu - vyberte si pomocou svojej peňaženky. Je to trochu iné. Volám vám, dopravcovia - ako sa staráte o všetkých svojich predplatiteľov pomocou telefónov, ktoré nemôžete alebo neaktualizujete, stále ste uprostred dlhej a drahej zmluvy o poskytovaní služieb, ale napriek tomu nemôžete používať internet bez toho, aby ste sa vystavovali bezpečnostným problémom? A čo tie telefóny na policiach? Nechať svojich používateľov visieť je jednoducho zlé a všetky veci, ktoré sú proaktívne a podniknú kroky na vyriešenie týchto vecí, zostanú s veľmi drahým telefónom bez záruky. Postúpte na tanier a zarobte si nejaké peniaze, ktoré zarobíte od našich používateľov systému Android.
Každý z vás, ktorý už má dosť a je pripravený sami opraviť veci, skočil na fóra. Teraz existuje naozaj dobrý dôvod na zakorenenie.
