Το ένα τέταρτο από τους χρήστες με συσκευές Android, χρησιμοποιεί την πιο πρόσφατη έκδοση Andrοid 4.4. Όλοι οι άλλοι χρησιμοποιούν παλαιότερες εκδόσεις.
Τα συστήματα τους δεν έχουν αναβαθμιστεί καθώς οι κατασκευαστές των συσκευών δεν μπορούν να παρέχουν έγκαιρα τις ενημερώσεις στις συσκευές. Έτσι δημιουργούνται συχνά προβλήματα ασφαλείας. Ένα κενό ασφαλείας που ανακαλύφθηκε πρόσφατα στον Andrοid Browser μας υπενθυμίζει γιατί η δυσκολία των κατασκευαστών να παρέχουν ενημερώσεις είναι ένα σημαντικό πρόβλημα. Ο Andrοid Browser είναι το προεπιλεγμένο πρόγραμμα περιήγησης στο web για τις συσκευές με Andrοid. Αυτό άλλαξε μετά την έκδοση Android 4.2 όταν προεπιλεγμένος browser έγινε ο Chrome.
Η Google άλλαξε σε Chromium από το Andrοid 4.4 και αυτό σημαίνει ότι όποιος δεν χρησιμοποιεί την έκδοση 4.4 είναι εκτεθειμένος στο bug.
Table of Contents
Τι προκαλεί η ευπάθεια
Όταν επισκέπτεστε μια ιστοσελίδα, μπορείτε να περιμένετε να σας παρέχει γρήγορα το περιεχόμενο της. Μια δέσμη ενεργειών (script) που εκτελείται στην ιστοσελίδα θα πρέπει, για παράδειγμα, να μην είναι σε θέση να τροποποιήσει το περιεχόμενο μιας άλλης ιστοσελίδα. Αυτό είναι το ελάττωμα που βρέθηκε ότι συμβαίνει στον Andrοid Browser.
Το Same Origin Policy (SOP) (ή στα Ελληνικά Πολιτική Ίδιας Προέλευσης) είναι ένας μηχανισμός ασφαλείας που έχει σχεδιαστεί για να αποτρέπει στα JavaScript να εκτελούνται από μια ιστοσελίδα σε μια άλλη. JavaScripts που εκτελούνται σε κακόβουλα sites δεν θα πρέπει να είναι σε θέση να ανακτήσουν δεδομένα από “καλά” sites.
Αυτό συμβαίνει στον Andrοid Browser όταν το πρόγραμμα περιήγησης χρησιμοποιείται από εφαρμογές που θα μπορούσαν δυνητικά να κλέψουν ευαίσθητα δεδομένα. Δεδομένα όπως τα cookies μπορεί να κλαπούν από την συγκεκριμένη ευπάθεια.
Ελέγξτε τη συσκευή σας
Για να ελέγξετε αν η συσκευή σας είναι ευάλωτη επισκεφθείτε την ακόλουθη ιστοσελίδα και κάντε κλικ στο κουμπί δοκιμής για να μάθετε εάν επηρεάζεστε.
Αν πάρετε ένα αναδυόμενο μήνυμα, ότι ο browser σας είναι ευάλωτος, φροντίστε να αλλάξετε άμεσα browser.
Το πρόβλημα
H Google εργάζεται πάνω σε ένα patch για να διορθώσει το πρόβλημα. Η διάθεση όμως του patch στον τελικό χρήστη θα είναι περίπλοκη. Ο κύριος λόγος είναι ότι για αυτού του είδους τις ενημερώσεις την ευθύνη την έχει ο κατασκευαστής της συσκευής.
Λαμβάνοντας υπόψη ότι η υποστήριξη στις συσκευές τελειώνει συνήθως μετά από δύο χρόνια, είναι απίθανο ότι όλες οι ευάλωτες συσκευές θα λάβουν την ενημέρωση.
Για να κάνουμε τα πράγματα ακόμα χειρότερα, η αλλαγή σε ένα άλλο πρόγραμμα περιήγησης όπως το Firefox ή το Chrome στις πληγείσες συσκευές επιλύει μόνο μέρος του προβλήματος. Παρόλο ότι ο browser θα είναι ασφαλής, οι εφαρμογές που εκτελείται στη συσκευή μπορεί να εξακολουθούν να χρησιμοποιούν το προεπιλεγμένο πρόγραμμα περιήγησης που είναι φυσικά ο Android Browser.