Android pre 4.4 Niente patch per la sicurezza, Perchè?

Un po’ come sui PC, dove Microsoft abbandona il supporto per il suo XP, Google decide di non rilasciare alcuna patch per webview sui dispositi pre 4.4.

Si tratta di un software incorporato che dovrebbe caricare pagine web senza necessariamente usare il browser, ma i malintenzionati, potrebbero sfruttarne il bug per eseguire codice malevolo.

Flebo Android

La falla e’ stata scoperta dall’ ingegnere Rafay Baloch e da Joe Vennix ingegnere di Rapid7, azienda che si occupa principalmente di sicurezza, inoltre un altro analista della stessa azienda, Tod Beardsley, ha dimostrato che Google non puo’ risolvere questo bug.

La risposta di Google e’ stata abbastanza secca e “menefreghista” come noi traduciamo:

Se la versione infetta di WebView è pre 4.4, noi generalmente non sviluppiamo le patch e, a parte notificare il problema ai produttori, non saremo in grado di intervenire su nessun report per quanto riguarda i dispositivi affetti, la cui versione e’ antecedente la 4.4 se non accompagnata da patch.

Android Fever

Beardsley spiega, come secondo lui, i device Jelly Bean e pre sono semplicemente troppo vecchi per essere patchati, poichè il sistema webview è integrato nella radice stessa del sistema (nel profondo del “codice”) rendendolo sostanzialmente impossibile da risolvere, sopratutto senza che nuovi problemi vengano alla luce.

Danger Android Bugs

Ad ogni modo i dispositivi 4.4 KitKat e 5.0 Lollipop sono già patchati e Google ha trovato il modo di risolvere questi bugs, incorporando webview come app, piuttosto che come parte del “CORE” del sistema operativo, permettendone quindi l’aggiornamento (con eventuali ulteriori patch) direttamente dal PlayStore.

Ecco alcuni suggerimenti su come comportarsi se usiamo versioni buggate:

  1. Aggiornare sempre tutto il Sistema e le sue Apps all’ ultima versione del Software
  2. Non effettuare Rooting
  3. Usare come browsers Chrome o Firefox, dato che questi non usano webview e continuano a ricevere Updates
  4. Cercare app piu’ recenti dato che Google consiglia ai Deveveloper l’integrazione di una “webview” proprietaria

bugs

Terminiamo ricordandovi, se avete dispositivi pre 4.4, che l’uso di questi piccoli accorgimenti da noi suggeriti permetterà di rendere quasi impossibile l’attacco, dato che se webview non e’ in esecuzione, non si possono avere problemi; essi invece rimarranno, purtoppo, per chi non e’ a conoscenza od in grado di seguire questi 4 punti, quindi potenzialmente, la moltitudine di persone che usa uno smartphone senza essere uno “Smanettone”.

Comments

Loading…