Google Android 4.4 trở về trước không thể vá lỗi bảo mật
Sau khi nhóm Project Zero của Google công bố lỗ hổng bảo mật trên Windows 8.1 trước khi Microsoft đưa ra bản vá thì họ gặp trỉ trích của giới công nghệ, trong đó khá nhiều người nhắc đến việc tại sao Google không vá lỗ hổng bảo mật được cho là khá nghiêm trọng và ảnh hưởng đến hàng chục, hàng trăm triệu thiết bị chạy Android 4.4 trở về trước.
Hôm nay, Google đã đưa ra những lý giải cho việc này, theo chuyên viên Adrian Ludwig, không có một giải pháp nào có thể vá lỗ hổng đó một cách an toàn ở thời điểm này, số lượng mã cần thiết để sửa lỗi đó có thể tạo ra rất rất nhiều các vấn đề khác, nhất là khi các OEM sẽ vá lỗi đó chứ không phải Google do cơ chế của Android 4.3 và các hệ điều hành trước đó. Và điều này rất khó, đặc biệt là sau khi các lập trình viên đưa ra "hàng ngàn" các thay đổi trên phần mềm mã nguồn mở mỗi tháng.
Các máy Android 4.4 trở về trước có lỗ hổng trong framework WebView (cho phép ứng dụng mở trang web thay vì phải gọi trình duyệt riêng biệt lên), có thể bị khai thác để tấn công từ xa. Ở Android 4.4 thì WebView được tách riêng ra và các nhà sản xuất có thể nhanh chóng cập nhật nó dưới sự hỗ trợ của Google, Android 5.0 thậm chí còn cho phép cập nhật qua PlayStore mà không cần quan tâm đến các OEM nhưng người dùng Android 4.3 và các OS cũ lại gần như không thể làm gì.
Để hạn chế lỗi này thì khi mở một trang web nào đó được chia sẻ trong ứng dụng, bạn nên sử dụng các trình duyệt không dùng WebView và được cập nhật thường xuyên như Chrome, Firefox. Ngoài ra, Google cũng khuyến cáo các lập trình viên bên thứ 3 sử dụng kỹ thuật dựng website riêng của họ hoặc chỉ dùng WebView với các trang web tin tưởng được, các trang web được mã hóa.
Hôm nay, Google đã đưa ra những lý giải cho việc này, theo chuyên viên Adrian Ludwig, không có một giải pháp nào có thể vá lỗ hổng đó một cách an toàn ở thời điểm này, số lượng mã cần thiết để sửa lỗi đó có thể tạo ra rất rất nhiều các vấn đề khác, nhất là khi các OEM sẽ vá lỗi đó chứ không phải Google do cơ chế của Android 4.3 và các hệ điều hành trước đó. Và điều này rất khó, đặc biệt là sau khi các lập trình viên đưa ra "hàng ngàn" các thay đổi trên phần mềm mã nguồn mở mỗi tháng.
Các máy Android 4.4 trở về trước có lỗ hổng trong framework WebView (cho phép ứng dụng mở trang web thay vì phải gọi trình duyệt riêng biệt lên), có thể bị khai thác để tấn công từ xa. Ở Android 4.4 thì WebView được tách riêng ra và các nhà sản xuất có thể nhanh chóng cập nhật nó dưới sự hỗ trợ của Google, Android 5.0 thậm chí còn cho phép cập nhật qua PlayStore mà không cần quan tâm đến các OEM nhưng người dùng Android 4.3 và các OS cũ lại gần như không thể làm gì.
Để hạn chế lỗi này thì khi mở một trang web nào đó được chia sẻ trong ứng dụng, bạn nên sử dụng các trình duyệt không dùng WebView và được cập nhật thường xuyên như Chrome, Firefox. Ngoài ra, Google cũng khuyến cáo các lập trình viên bên thứ 3 sử dụng kỹ thuật dựng website riêng của họ hoặc chỉ dùng WebView với các trang web tin tưởng được, các trang web được mã hóa.
Google Android 4.4 trở về trước không thể vá lỗi bảo mật
Reviewed by Unknown
on
05:25
Rating:
Không có nhận xét nào: