Gaia Bottà

Android, quando la falla resta aperta

Il componente WebView relativo ad Android 4.3 e release precedenti, in uso presso la maggioranza degli utenti, non verrà più aggiornato: Google cede la responsabilità agli OEM. E' polemica su una politica degli update non sempre trasparente

Roma - Non tutto il codice fallato merita di essere sistemato, nemmeno se è in uso presso larga parte degli utenti: Google non ritiene necesario muoversi in prima persona per riparare a dei bug che colpiscono le versioni antecedenti a KitKat, lasciando gli utenti di Android 4.3 e delle release precedenti, che animano circa il 60 per cento dei terminali censiti da Mountain View, esposti a potenziali attacchi.

La questione è segnalata da Tod Beardsley, ricercatore di sicurezza di Rapid7: ci sono delle falle che colpiscono WebView, componente di Android che permette alle app di mostrare contenuti web all'interno delle applicazioni stesse, senza reindirizzare l'utente sul browser. Con l'avvento di Android 4.4 WebView accantona WebKit per basarsi su Chromium, per poi scindersi dal sistema operativo con l'aggiornamento a Lollipop, così da garantire più tempestività e precisione negli update attraverso Google Play. Beardsley spiega che se per le release più recenti Google provvede alle patch e le rende pubbliche attraverso l'Android Open Source Project, per le versioni precedenti Mountain View lascerà che siano sviluppatori terzi a proporre una soluzione a favore di coloro che desiderino aggiornare.

La conferma giunge direttamente dall'Android security team: "Se la versione di WebView colpita è precedente alla 4.4 - viene spiegato al ricercatore - generalmente non sviluppiamo le patch ma informiamo i partner della questione". Spetterà poi agli OEM decidere sul da farsi.
Beardsley lamenta sostanzialmente la mancanza di trasparenza da parte di Google: se la scelta di limitare il supporto alle vecchie release potrebbe essere ragionevole dal punto di vista della sicurezza e del mercato, mancherebbe da parte della Grande G una politica uniforme e chiara riguardo alla scansione temporale dell'esaurimento del supporto, oltre ad un database delle vulnerabilità ancora da risolvere per i sistemi operativi meno recenti. Un atteggiamento che in qualche modo stride con quello tenuto nei confronti della concorrenza: Microsoft, che opera secondo una rigida scansione tremporale per i propri update e che segue una tabella di marcia di ampio respiro per il supporto ai propri prodotti, è stata svergognata dalla Grande G per una patch in ritardo di pochi giorni sulle tempistiche concesse da Google Project Zero.

Gaia Bottà
Notizie collegate
159 Commenti alla Notizia Android, quando la falla resta aperta
Ordina
  • Pienamente, fino in fondo.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Pienamente, fino in fondo.

    E senza bisogno di buttare nel cesso più di 1000E !
    non+autenticato
  • Android Browser and WebView addJavascriptInterface - Code Execution:
    This module exploits a privilege escalation issue in Android < 4.2's WebView component
    [....]
    If you can MITM the WebView's HTTP connection, or if you can get a persistent XSS
    [....]

    Clausole specifiche della vulnerabilità,
    Per essere utilizzata è necessario prima controllare router di casa o controllare tutta la rete dell'operatore telefonico.
    non+autenticato
  • - Scritto da: Fabrizio
    > Android Browser and WebView
    > addJavascriptInterface - Code
    Bel casino, bug non letale, come quello di casa Microsoft.
    La differenza?

    Microsoft ha pubblicato la patch in 92 giorni (2 in più dell'ultimatum ricevuto da google).
    Google invece si è limitata a dichiarare che non fornirà mai i rattoppi.
    non+autenticato
  • il punto è che i produttori non aggiornano da Google quindi il problema non è di google, ogniuno ha una sua distribuzione personalizzata.
    Google non si può di certo preoccupare di un software dichiarato obsoleto.
    Sta a chi ha venduto quei dispositivi aggiornarli magari all'ultima versione del sistema operativo.
    non+autenticato
  • - Scritto da: CrazyVerse
    > il punto è che i produttori non aggiornano da
    > Google quindi il problema non è di google,
    > ogniuno ha una sua distribuzione
    > personalizzata.
    Google ha i mezzi e deve pubblicare per ogni versione del suo OS la pezza di correzione.

    Così come Google è in grado di cancellare il contenuto dei nostri device e di aggiornare via servizi del playstore in remoto, Google può tranquillamente rattoppare il suo buco alla meno peggio.

    Ma non lo fa. Nota che non lo fa nemmeno per i suoi nexus di vecchia data.
    non+autenticato
  • - Scritto da: Jaguaro
    > http://www.tecnoandroid.it/android-939-milioni-di-
    >
    > Buonatìnotte MassMinchA bocca aperta
    Questo è ancora più grave.
    Un po' come se Microsoft lasciasse un bug su XP che lascia bucati tutti i browser, tranne il suo. Poi alla fine ti dice o usi Internet Explorer o ti tieni il buco, perché i vari samsung non faranno mai uscire le patch. E bene!
    Google don't be evil e rilascia tu le patch, per tutti i browser. Non fare il solito EVIL che ci obbliga ad usare il suo browser "per stare al sicuro" dai buchi che tu stesso hai creato sugli altri browser.
    non+autenticato
  • - Scritto da: Etyphe
    > Questo è ancora più grave.
    > Un po' come se Microsoft lasciasse un bug su XP
    > che lascia bucati tutti i browser, tranne il suo.

    forse vuoi dire il contrario cipollettoSorride
    Infatti IE8 non viene più aggiornato,chi usa ancora XP usa altri browserSorride

    > Poi alla fine ti dice o usi Internet Explorer o
    > ti tieni il buco, perché i vari samsung non
    > faranno mai uscire le patch. E
    > bene!

    Nno sarà mica il contrario ?A bocca aperta

    > Google don't be evil e rilascia tu le patch, per
    > tutti i browser. Non fare il solito EVIL che ci
    > obbliga ad usare il suo browser "per stare al
    > sicuro" dai buchi che tu stesso hai creato sugli
    > altri
    > browser.

    Firefox è di google ? Newbie, inesperto
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: Etyphe
    > > Questo è ancora più grave.
    > > Un po' come se Microsoft lasciasse un bug su
    > XP
    > > che lascia bucati tutti i browser, tranne il
    > suo.
    > forse vuoi dire il contrario
    No, trattasi di esempio.

    > Infatti IE8 non viene più aggiornato,chi usa
    > ancora XP usa altri browser
    Meglio, vuol dire che la concorrenza funziona.
    Su android invece c'è l'obbligo di usare chrome se non si vogliono i bachi di google lasciati aperti per gli altri browser.


    > Firefox è di google ?
    Praticamente sì. Google ha pagato fino a ieri lo sviluppo di Firefox, poi è nato Chrome e Firefox e colato a picco, non a caso Mozilla ha dovuto fare un accordo con Yahoo! per restare in partita.
    Ma leggi le news?
    non+autenticato
  • - Scritto da: Etyphe
    > No, trattasi di esempio.

    fatto al contrario ?A bocca aperta

    > > Infatti IE8 non viene più aggiornato,chi usa
    > > ancora XP usa altri browser
    > Meglio, vuol dire che la concorrenza funziona.

    Puoi usare lo stesso IE8,non succede un tubo se non vai a cliccare a cavoli in pagine dei bassifondiOcchiolino

    > Su android invece c'è l'obbligo di usare chrome
    > se non si vogliono i bachi di google lasciati
    > aperti per gli altri
    > browser.

    Non vedo dove sia l'obbligo,Firefox è di google ?A bocca aperta

    > > Firefox è di google ?
    > Praticamente sì. Google ha pagato fino a ieri lo
    > sviluppo di Firefox

    ahaha sei spassosoA bocca aperta

    > poi è nato Chrome e Firefox
    > e colato a picco

    eh si infatti è da qualche giorno che è uscita la versione N° 35 ,quanti anni sono che c'è Chrome ?A bocca aperta

    > non a caso Mozilla ha dovuto
    > fare un accordo con Yahoo! per restare in
    > partita.

    Mozilla vive di donazioni e fa accordi come tanti.

    > Ma leggi le news?

    Si ma senza occhiali con lenti a forma di mela morsicataA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > fatto al contrario ?
    Non fanno nulla, ti obbligano a usare chrome o a vivere col buco.

    > > > ancora XP usa altri browser
    > > Meglio, vuol dire che la concorrenza
    > funziona.
    > Puoi usare lo stesso IE8
    Su XP! Ovvio che puoi!
    Su XP puoi usare quello che ti pare.
    È sui chicco-droidi che puoi solo usare chrome per non avere i buchi.
    Questo perché google non ha rattoppato il buco!
    Ma LOL! E qualcuno se ne vanta pure.
    Dai basta arrampicarti sugli specchi, nemmeno gli specchi riescono più a reggere i tuoi scivoloni.

    > > Su android invece c'è l'obbligo di usare
    > chrome
    > > se non si vogliono i bachi di google lasciati
    > > aperti per gli altri
    > > browser.
    > Non vedo dove sia l'obbligo,Firefox è di google ?
    L'uno vive grazie ai soldi dell'altro.
    Suvvia, te l'ho già spiegato qui sotto.
    Abbi la capacità di leggere.A bocca aperta

    > > > Firefox è di google ?
    > > Praticamente sì. Google ha pagato fino a
    > ieri
    > lo
    > > sviluppo di Firefox
    > > poi è nato Chrome e Firefox
    > > e colato a picco
    > eh si infatti è da qualche giorno che è uscita la
    > versione N° 35
    Considerato che esce una versione nuova al giorno, saranno 35 giorni... LOL.


    > > non a caso Mozilla ha dovuto
    > > fare un accordo con Yahoo! per restare in
    > > partita.
    > Mozilla vive di donazioni e fa accordi come tanti.
    Vive(va) dell'accordo con Google, ora è stata costretta a fare un accordo con Yahoo! per non crollare.

    > > Ma leggi le news?
    > Si ma senza occhiali
    E questo spiega tante cose. Rotola dal ridere
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: Jaguaro
    > >
    > http://www.tecnoandroid.it/android-939-milioni-di-
    > >
    > > Buonatìnotte MassMinchA bocca aperta
    > Questo è ancora più grave.
    > Un po' come se Microsoft lasciasse un bug su XP
    > che lascia bucati tutti i browser, tranne il suo.
    > Poi alla fine ti dice o usi Internet Explorer o
    > ti tieni il buco, perché i vari samsung non
    > faranno mai uscire le patch. E bene!
    > Google don't be evil e rilascia tu le patch, per
    > tutti i browser. Non fare il solito EVIL che ci
    > obbliga ad usare il suo browser "per stare al
    > sicuro" dai buchi che tu stesso hai creato sugli
    > altri browser.

    Ma piantala, macaco!
    Quando la tua Apple viene messa di fronte ad una vulnerabilità del suo programma di gestione SMS, replica con: "Usate iMessage".
    http://www.cnet.com/news/apple-responds-to-iphone-.../
    Giusto per rinfrescarti la memoria, eh, che notoriamente non è il punto forte dei macachi.
    Izio01
    4368
  • - Scritto da: Izio01
    > Quando la tua Apple viene messa di fronte ad una
    > vulnerabilità del suo programma di gestione SMS,
    > replica con: "Usate
    > iMessage".

    Ma poi l'hanno patchata o no ? Ficoso
  • - Scritto da: aphex_twin
    > - Scritto da: Izio01
    > > Quando la tua Apple viene messa di fronte ad
    > una
    > > vulnerabilità del suo programma di gestione
    > SMS,
    > > replica con: "Usate
    > > iMessage".
    >
    > Ma poi l'hanno patchata o no ? Ficoso

    Non saprei, l'hanno patchata?
    Per quanto riguarda la falla dai, non fare finta di non capire, che non sei tra i fanatici. Google mette a disposizione gli aggiornamenti, ma poi sta agli OEM riportarli sulla versione di OS che distribuiscono col telefono. Con il sempre maggior peso attribuito a Google Play Services, si allarga la sfera d'intervento di BigG (GoPlSe ha per contro il fatto di essere codice chiuso e non aperto) ma quello che esula non può essere patchato direttamente.
    La versione patchata del software è disponibile? Sì. E' gratis? Sì. Gli OEM non la riportano sulle loro distribuzioni? Colpa degli OEM e non di Google.
    C'è chi dice che un telefono vecchio non potrebbe comunque far girare 4.4.3; io ho chiesto link che mostrino questa cosa e non ho ricevuto nulla, quindi assumo che sia falso. In altre parole, tanti appliani che si divertono a sfottere Google, ma poca sostanza Occhiolino
    Izio01
    4368
  • No dai è impossibile,la soluzione non può essere così semplice !

    Mica è come in apple dove il browser di altri produttori è solo un safari camuffatoA bocca aperta
    non+autenticato
  • Incredibile.

    Una persona c'è arrivata.

    Incredibile veramente. A proposito, ho rilasciato l'ultima versione di <mialibreriachenonvidicosennòsapetechisono> .

    Corro subito a cambiare il sorgente tutti i prodotti closed (LGPL) per non sentirmi come Google.
    non+autenticato
  • 90 giorni e Google sistemerà tutto.
    Anzi no. Rotola dal ridere

    Azienda al limite del ridicolo.
    non+autenticato
  • come Ms che è a pagamento e se n'è fregata della segnalazione ?A bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > come Ms che è a pagamento e se n'è fregata della
    > segnalazione ?
    Balle.
    Hanno pubblicato la patch nel loro aggiornamento mensile, 2 giorni dopo la scadenza dell'ultimatum di google.
    Qui invece è google che invece di risolvere in 90 giorni, afferma che non risolverà mai.

    C'è poco da dire, Google ha toppato.Triste
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: Etype
    > > come Ms che è a pagamento e se n'è fregata
    > della
    > > segnalazione ?
    > Balle.
    > Hanno pubblicato la patch nel loro aggiornamento
    > mensile, 2 giorni dopo la scadenza dell'ultimatum
    > di
    > google.
    > Qui invece è google che invece di risolvere in 90
    > giorni, afferma che non risolverà
    > mai.
    >
    > C'è poco da dire, Google ha toppato.Triste

    Clicca per vedere le dimensioni originali
    maxsix
    9964
  • - Scritto da: Etyphe
    > Balle.
    > Hanno pubblicato la patch nel loro aggiornamento
    > mensile, 2 giorni dopo la scadenza dell'ultimatum
    > di
    > google.

    Se n'è fregata per tutto questo tempo e parliamo di desktop non di mobile

    > Qui invece è google che invece di risolvere in 90
    > giorni, afferma che non risolverà
    > mai.

    come non risolverà mai Ms il bug delle cartelle compresse in XPSorride

    > C'è poco da dire, Google ha toppato.Triste

    Passa ad apple,li toppare è la parola d'ordineA bocca aperta
    non+autenticato
  • - Scritto da: Etype

    > > google.
    > Se n'è fregata per tutto questo tempo e parliamo
    > di desktop non di
    > mobile
    Hai ragione, google se n'è fregata. Altro che patch in 90 giorni.
    Ma si parla di mobile, non desktop.


    > come non risolverà mai Ms il bug delle cartelle
    > compresse
    Le cartelle compresse funzionano su dispositivi microsoft, mentre i bachi di webview saranno sempre lì sui prodotti google.


    > > C'è poco da dire, Google ha toppato.Triste
    > Passa ad apple
    già fatto, a breve lo farai anche tu
    non+autenticato
  • - Scritto da: Etyphe
    > Hai ragione, google se n'è fregata. Altro che
    > patch in 90
    > giorni.
    > Ma si parla di mobile, non desktop.

    che riguarda un componente,a differenza di babuscia-apple i browser alternativi non sono delle delle mere copertureA bocca aperta

    > Le cartelle compresse funzionano su dispositivi
    > microsoft

    solo ?A bocca aperta

    > mentre i bachi di webview saranno
    > sempre lì sui prodotti
    > google.

    su un componente che puoi cambiare e se aggiorni da 4.4 in poi neanche c'è il problema....

    > già fatto, a breve lo farai anche tu

    Si contaciA bocca apertaA bocca apertaA bocca aperta ,mi fa vomitare solo l'ideaA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: Etyphe
    > > Hai ragione, google se n'è fregata. Altro che
    > > patch in 90
    > > giorni.
    > > Ma si parla di mobile, non desktop.
    > i browser alternativi non sono
    > delle delle mere coperture
    Forse non hai capito ( "forse"... Rotola dal ridere )
    I browser alternativi dei chicco-droidi hanno la falla!
    Sei costretto ad usare il browser di google per non averla.
    Bel modo per costringere tutti gli utenti ad usare il browser proprietario di google.
    L'alternativa è cambiare telefono!
    Pensa tu quanta scelta c'è in ambiente droide.A bocca aperta

    > > Le cartelle compresse funzionano su
    > dispositivi
    > > microsoft
    > solo ?
    Funzionano anche su sistemi Apple.
    I problemi ci sono sui chicco-droidi.

    >
    > > mentre i bachi di webview saranno
    > > sempre lì sui prodotti
    > > google.
    > su un componente che puoi cambiare e se aggiorni
    > da 4.4
    No, devi per forza usare il browser google, oppure cambiare cellulare.
    Questo non è supporto, ma capisco che certi pecoroni ormai si siano abituati ad un servizio non-servizio di google.

    Appena passerai ad iOS capirai il disastro dei droidi e scoprirai quanto siano polli quelli che ancora si affidano a google
    non+autenticato
  • farei un bel proof of concept e lo pubblicherei su gitHub.
    così, giusto per ringraziare per quando Google ha rivelato i bug di windows prima che venissero patchati.
    non+autenticato
  • - Scritto da: ...
    > farei un bel proof of concept e lo pubblicherei
    > su gitHub.
    > così, giusto per ringraziare per quando Google ha
    > rivelato i bug di windows prima che venissero
    > patchati.

    Visto quanto ci hanno messo per una patch tempo che scrivono il proof e avranno già tutti patchato da anni.
    non+autenticato
  • - Scritto da: nome e cognome
    > Visto quanto ci hanno messo per una patch tempo
    > che scrivono il proof e avranno già tutti
    > patchato da
    > anni.


    Davvero tu pensi di smontare la logica del messaggio con una battuta?
    non+autenticato
  • - Scritto da: nome e cognome

    > Visto quanto ci hanno messo per una patch tempo
    > che scrivono il proof e avranno già tutti
    > patchato da
    > anni.
    Ti ricordo che Google invece ci mette un tempo infinito... dato che anziché fare patch, preferisce farti cambiare telefono... Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > farei un bel proof of concept e lo pubblicherei
    > su
    > gitHub.
    > così, giusto per ringraziare per quando Google ha
    > rivelato i bug di windows prima che venissero
    > patchati.

    ottima polemica, peccato che la prima vittima non sia nè Microsoft nè Google ma l'utente finale che viene trapanato da hacker di stato e non.
    non+autenticato
  • - Scritto da: gogna

    > ottima polemica, peccato che la prima vittima non
    > sia nè Microsoft nè Google ma l'utente finale che
    > viene trapanato da hacker di stato e
    > non.


    E' vero, è un peccato.
    E i responsabili sono lì in bella vista, che addirittura annunciano in pompa che loro se ne sbattono di milioni di persone.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)