image

Expert waarschuwt voor standaard Android-browser

zondag 18 januari 2015, 12:03 door Redactie, 14 reacties

Een Amerikaanse beveiligingsexpert heeft bijna een miljard Android-gebruikers die met Jelly Bean of een oudere versie van het mobiele besturingssysteem werken gewaarschuwd om de standaard meegeleverde browser niet meer te gebruiken en op andere browser over te stappen.

De reden is dat kwetsbaarheden in het WebView-onderdeel van de AOSP (Android Open Source Project)-browser niet meer door Google worden gepatcht. Afgelopen maandag waarschuwde Todd Beardsley van beveiligingsbedrijf Rapid7 dat er geen nieuwe updates meer voor WebView uitkomen. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven.

In de nieuwste versies van Android wordt WebView niet meer gebruikt, maar 60% van de Android-gebruikers zit nog met een versie waar dit wel het geval is. Het kan dan ook nog jaren duren voordat WebView overal is verdwenen en al die tijd lopen gebruikers risico, merkt Beardsley op. "Als ik een aanvaller was en een Android-onderdeel moest kiezen om aan te vallen, zou het WebView zijn. WebView is een onderdeel dat in bijna alle advertentie-ondersteunende libraries wordt gebruikt, alsmede wanneer je in elke web-rendering app niet op "open link in browser" klikt."

De expert is dan ook verbaasd dat Google nog wel steeds updates voor bijvoorbeeld de audiospeler in oudere Android-versies uitbrengt, maar WebView links laat liggen. Aangezien Chrome, Firefox en andere browsers geen WebView gebruiken is dit een belangrijke beveiligingsmaatregel merkt Beardsley op. "Als je de standaard AOSP-browser op Jelly Bean of ouder gebruikt, stop er dan mee." Hetzelfde advies geldt voor gebruikers die de geskinde browser van hun telecomaanbieder gebruiken. Het kwetsbare onderdeel blijkt echter ook allerlei apps en advertentienetwerken te raken, zo stelde anti-virusbedrijf Trend Micro al eerder vast.

Reacties (14)
18-01-2015, 17:12 door Anoniem
Voor degene die nog niet weten is "Jelly Bean" Android - 4.3
18-01-2015, 18:32 door Anoniem
Tsjee en dan heeft Google de mond vol van Microsoft onlangs . Ze zijn geen haar beters dus ! Zelfde zooi laten zitten dus voor de gebruikers .
18-01-2015, 20:36 door Anoniem
Ze dwingen gebruikers nieuwe producten aan te schaffen en zo door te kunnen gaan met het verkopen.
18-01-2015, 20:39 door Anoniem
Voor degene die nog niet weten is "Jelly Bean" Android - 4.3

En Android 4.3 kwam uit op 24/07/2013, of nog geen 1.5 jaar geleden.

Geweldige supportcyclus.
18-01-2015, 23:01 door Anoniem
Niemand gebruikt de standaard browser. Snap niet dat mensen hier boos om kunnen zijn. Ze willen op deze manier gewoon meer mense naar chrome doen overstappen.
19-01-2015, 00:05 door Anoniem
Google heeft dit probleem al lang opgelost. De patch heet 4.4 KitKat. Dit is verder het probleem van fabrikanten.
19-01-2015, 08:02 door Anoniem
4.4 of 5.0 nemen

xda-developpers.com
19-01-2015, 09:20 door Optimus
Door Anoniem: Google heeft dit probleem al lang opgelost. De patch heet 4.4 KitKat. Dit is verder het probleem van fabrikanten.

Beetje kort door de bocht, lang niet elke uitgebrachte telefoon waar standaard dit OS op staat kan ge-update worden. In mijn ogen hebben zowel de software-bouwer als hardware bouwer een bepaalde verantwoordelijkheid.

Maar de support cycle is inderdaad erg kort. Met name voor de budget-telefoons.
19-01-2015, 10:21 door Anoniem
Door Anoniem: Niemand gebruikt de standaard browser. Snap niet dat mensen hier boos om kunnen zijn. Ze willen op deze manier gewoon meer mense naar chrome doen overstappen.

Applicaties kunnen dit onderhuids gebruiken, dus is het wel relevant.

Door Anoniem: Google heeft dit probleem al lang opgelost. De patch heet 4.4 KitKat. Dit is verder het probleem van fabrikanten.

Zolang Google niet afdwingt, dat fabrikanten systemen van 3 jaar of jonger altijd updaten, kun je raden, dat die dat nooit gaan doen. Dat is geld steken in iets waar geen winst meer op te maken is.
19-01-2015, 10:58 door Anoniem
Is er een mogelijkheid om de standaard browser en andere ongebruikte "standaard" apps te verwijderen?
Zou dit probleem al oplossen.
19-01-2015, 14:13 door Vandy
Door Anoniem: Is er een mogelijkheid om de standaard browser en andere ongebruikte "standaard" apps te verwijderen?
Zou dit probleem al oplossen.
Er zijn verschillende "root uninstallers" te vinden die standaard apps kunnen verwijderen.
19-01-2015, 15:12 door Mysterio
Door Anoniem:
Voor degene die nog niet weten is "Jelly Bean" Android - 4.3

En Android 4.3 kwam uit op 24/07/2013, of nog geen 1.5 jaar geleden.

Geweldige supportcyclus.
Nice! En dan op Microsoft zeuren wanneer ze kappen met een 12 jaar oud product. Uiteraard koopt iedereen elk jaar een nieuwe telefoon -zucht- Fijn bedrijf dat Google.
19-01-2015, 16:43 door Anoniem
Door Mysterio:
Fijn bedrijf dat Google.
Android is geinjecteerd met veel geld om persoonlijke data te monitizen.
Misschien 'ns een wat echtere Linux proberen: SailfishOS, dat gemaakt is met het tegenovergestelde in mind.
20-01-2015, 20:37 door 0101
Google heeft recent WebView geïntegreerd in de closed-source Play Store, dus de open-source variant ontvangt zodra Android 4.4 support ophoudt geen beveiligingsupdates meer. (Bron: https://tweakers.net/reviews/3754/6/android-50-lollipop-oogt-beter-en-werkt-fijner-veel-kleine-vernieuwingen.html)

Dit past in hun strategie, het stukje bij beetje vervangen van alle onderdelen van Android door closed-source: http://arstechnica.com/gadgets/2013/10/googles-iron-grip-on-android-controlling-open-source-by-any-means-necessary/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.