Хакеры могут возрадоваться: теперь им доступно целое меню разнообразных уязвимостей в Android. Стало известно, что Google прекращает выпускать патчи брешей в WebView для более ранних версий Android, сообщает «Лаборатория Касперского».
Исследователи из Rapid7, выпускающие эксплойты для WebView в Android Jelly Bean 4.0–4.3 и более ранних версиях, доказали, что этот компонент, ответственный за визуализацию веб-страниц, дырявый как решето. Среда Metasploit Framework, в которой резвятся хакеры из Rapid7, содержит 11 эксплойтов WebView, большую часть которых создали эксперты Рафай Балоч (Rafay Baloch) и Джо Венникс (Joe Vennix).
Начиная с версии Android 4.4 (KitKat), WebView получил апгрейд и теперь использует базовый код Chromium — такой же, как в браузере Chrome. Получив недавно свежий отчет об уязвимостях в версиях Android старше 4.4, представители Google сообщили исследователям из Rapid7, что компания больше не будет выпускать заплатки для багов в компоненте WebView и продолжит поддерживать только KitKat и самую свежую версию ОС, Lollipop.
«Если уязвимая версия [WebView] ниже 4.4, мы не разрабатываем собственные патчи, но при этом приветствуем их создание сторонними разработчиками и публикацию вместе с отчетом о безопасности — такой ответ от Google получили в Rapid7, по словам старшего инженера Тода Бирдсли (Tod Beardsley). — Мы не сможем предпринять каких-либо действий помимо уведомления OEM-партнеров, если отчет касается версий Android раньше 4.4 и при этом не предлагает соответствующего патча».
По словам Бирдсли, Google сообщила Rapid7 о том, что более не будет сертифицировать сторонние устройства с AOSP-браузером; таким образом, обновление до последней версии Android является необходимым шагом для обеспечения безопасности мобильного устройства.
«С одной стороны, это вполне резонное решение. Прекращение поддержки версий ОС более чем на два поколения старше текущей — общепринятая практика в мире как проприетарной, так и открытой разработки ПО. В конце концов многие разработчики прекращают поддержку устаревшей версии, как только выходит новая, а некоторые вообще не имеют прозрачной политики относительно сроков поддержки программного продукта», — отметил Бирдсли.
Однако, по данным сообщества разработчиков Android, 60% пользователей Android используют Jelly Bean 4.3 и более ранних версий — это приблизительно 930 млн устройств.
threatpost.ru
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?