Google si rifiuta di applicare la patch di vulnerabilità del sistema operativo

Questa è una traduzione automatica rafforzata di questo articolo.

Molti produttori offrono aggiornamenti di sicurezza per i prodotti meno recenti utilizzando diverse strategie. Ad esempio, ci sono alcuni, come Microsoft che sono inclini a offrire aggiornamenti di sicurezza per un periodo di tempo dopo l’arresto di vendere un sistema operativo. Altri, come nel caso di Google e Apple offrono piccole scadenze per gli aggiornamenti di sicurezza.

Google nega di correggere i bug in Android 4.3 o versioni precedenti e non si preoccupano del fatto che tali errori potrebbero rivelare le vulnerabilità critiche su quasi un miliardo di dispositivi.

È un dato di fatto, i bug affliggono Android 4.1 a 4.3, o Jelly Bean, che è stato rilasciato nel 2012 e ha rappresentato la prima versione di Android fino alla fine del 2013. Google ha problemi Android`s motore di analisi WebView costantemente fisso. Prima l’apparizione di KitKat (Android 4.4), tutti Android`s varianti fatto uso di questo motore di analisi che potrebbe essere accessibile dal browser di Android per il rendering HTML pagine web. Così, con KitKat e Lollipop, Google aggiorna il sistema operativo di utilizzare un plugin WebView che viene dal suo progetto Chromium.

Quando forma di sicurezza Rapid7 detto Google che Android 4.3 e sotto erano indifesi, reazione Google`s sollevato varie questioni. La società ha detto che non si offrono le patch se la versione di WebView è precedente alla 4.4, ma si prenderanno in considerazione le patch a titolo oneroso. Inoltre, prenderanno solo in attenzione OEM solo i problemi che interessano le versioni 4.4, dopo che vengono con una patch. Ciò significa che il personale di sicurezza dovrebbe offrire una patch per correggere un problema quando viene segnalato. In questo caso, Google prenderà in considerazione quella patch per riconoscere se effettivamente risolve il bug. Se la risposta è negativa, Google informerà solo molti OEM del problema. In altre parole, Google sta dicendo alla sua comunità di utenti che devono ottenere una versione aggiornata del proprio sistema operativo da Samsung, LG e Motorola. Questo non è realizzabile.

L’utente del telefono o tablet normale non ha i mezzi per migliorare il suo sistema operativo a meno che il vettore lui un aggiornamento OTA offrirà. Il fatto che ci sono due cicli di aggiornamento l’anno significa che molte persone dovranno affrontare dispositivi rotto con il riconoscimento che Google non fornirà alcun fissaggio.

Come Google cerca di spingere gli OEM off Android open-source

Il motivo principale per cui Google ha smesso di risolvere i problemi Android Browser è il fatto che la società sta girando verso ottenere agli OEM di smettere di usare Android`s funzionalità open-source. Ciò è destinato a cambiare il loro con caratteristiche licenza rigorosamente da Google. In ogni caso, Google non ha intenzione di uccidere Android. L’azienda cerca solo di fare in modo che le uniche parti del programma che può beneficiare di aggiornamenti di funzionalità, miglioramenti di capacità e miglioramenti delle prestazioni sono quelli che hanno bisogno di accordi di licenza. Passando tutti la responsabilità di aggiornamenti di sicurezza sui vettori e ricercatori di sicurezza, Google sta affermando il fatto che gli OEM possono accettare i suoi termini di licenza o semplicemente portare l’onere di fornire aggiornamenti di sicurezza che non sono in grado di fare e non hanno i fondi per . Linea di fondo, mentre Google combatte la sua guerra, gli utenti saranno in coloro che soffrono di bug e dispositivi che non funzionano correttamente. Google sta esponendo oltre un miliardo di utenti Android da non patch le vulnerabilità del sistema operativo. Vedremo quello che viene dopo!