Esse problema foi corrigido no Android 4.4 e 5.0, mas mais de 60% dos dispositivos Android estão presos em dispositivos que não recebem correções de segurança.
Por que o Google não está corrigindo o navegador do Android 4.3 mais
Atualizações do sistema operacional Android são uma bagunça. Os fabricantes criam um grande número de telefones diferentes e modificam o código extensivamente. O Google não pode apenas atualizar o sistema operacional em seu dispositivo. Eles só podem criar um novo código e esperar que o fabricante do dispositivo e sua operadora de celular façam o trabalho pesado para conseguir isso para você.
Tradicionalmente, a maioria dos componentes do Android foi integrada ao nível do sistema operacional. Isso inclui o navegador da Web incorporado, denominado "Navegador". É importante destacar que o Navegador e o mecanismo de renderização subjacente estão integrados ao sistema operacional. O mecanismo do navegador é usado em todos os aplicativos para Android que usam um navegador da Web incorporado, conhecido como "WebView".
Este navegador embutido é baseado em uma versão antiga do WebKit, e uma falha séria foi descoberta recentemente e reportada ao Google. O Google não tem como fornecer uma atualização diretamente aos usuários do Android para corrigir esse problema. Ele precisa ser corrigido por meio de uma atualização do sistema operacional, que exige que os fabricantes e as operadoras de dispositivos façam o trabalho.
Infelizmente, mesmo quando o Google estava lançando o código de atualização de segurança para o navegador do Android 4.3, muitos fabricantes de dispositivos podem não estar enviando as correções para seus usuários. A única vantagem da economia é que muitos dispositivos Android foram fornecidos com o Google Chrome, e os usuários estão seguros enquanto usam o Chrome nesses dispositivos, mas, novamente, não enquanto usam outros aplicativos com navegadores da Web incorporados.
A maioria dos usuários do Android estão em dificuldades, mas o Android 4.4 e os mais novos são fixos
O Google vem trabalhando para tornar as atualizações do sistema operacional Android menos importantes, quebrando mais recursos do sistema operacional central para que possam ser atualizados pelo Google Play. No Android 4.4, o navegador integrado pode ser atualizado rapidamente pelos fabricantes de dispositivos com um pequeno patch. No Android 5.0, o navegador é atualizado pelo Google diretamente pelo Google Play.
No entanto, mais de 60% dos dispositivos estão usando o Android 4.3 e inferior, de acordo com os números do próprio Google. O Google não lançou um "patch" para o Android 4.3, mas, se o fizer, caberia aos fabricantes de celulares e operadoras de telefonia celular implementá-lo. Realmente, o Google vê os dispositivos de atualização para o Android 4.4 como a correção e os fabricantes de dispositivos devem trabalhar nisso.
Nós não pretendemos absolver o Google aqui. Construir o navegador profundamente no sistema operacional para que ele não seja rapidamente atualizado para corrigir falhas de segurança foi uma decisão terrível, e só podemos agradecer por eles terem mudado o modo como as versões modernas do Android funcionam. Fabricantes de dispositivos e operadoras de telefonia celular merecem muita responsabilidade por não atualizar os dispositivos rapidamente. Se você tiver um telefone comprado em um contrato de dois anos, eles devem pelo menos atualizar o dispositivo com atualizações de segurança para a duração do contrato!
Como se manter seguro no Android 4.3 e versões anteriores
Mas isso não é apenas um debate interessante entre o Google e profissionais de segurança online. A realidade é que a maioria dos usuários do Android está usando um navegador da Web vulnerável e você pode ser um deles. Veja o que você pode fazer para se manter o mais seguro possível:
- Instalar e usar um navegador da Web diferente: Não use o aplicativo "Navegador" integrado para navegar na web. Em vez disso, instale um navegador como o Mozilla Firefox ou o Google Chrome no Google Play. O Chrome funciona apenas no Android 4.0 e superior, mas o Mozilla Firefox ainda funciona no Android 2.3 Gingerbread. Esses navegadores incluem seus próprios mecanismos de renderização, por isso não usam o mecanismo do navegador do sistema. Eles também são atualizados com frequência pelo Google Play. Você provavelmente encontrará esses navegadores mais rápido do que o navegador interno, se tiver um dispositivo mais antigo com código de navegador interno antigo, de qualquer maneira!
- Evite navegar com navegadores da Web incorporados: O uso de um navegador de terceiros não corrige tudo, pois você ainda corre risco se usar um navegador da Web incorporado em um aplicativo. Eles usam o "WebView" do sistema, que é vulnerável. Evite navegar com navegadores incorporados se você tiver uma versão vulnerável do Android. Atenha-se a um aplicativo de navegador dedicado, como o Firefox ou o Chrome.
O Google realmente recomendou que os desenvolvedores de aplicativos para Android agrupassem os mecanismos de navegação em seus aplicativos no Android 4.3 e versões anteriores. Essa é a única maneira de garantir que seus navegadores internos sejam seguros e protegidos. Este é um truque sujo em torno do código do navegador podre no próprio Android. É uma recomendação muito louca, mas os desenvolvedores podem realmente considerar isso - especialmente se a segurança for particularmente importante para o aplicativo.
Então, quanto de risco é isso, realmente? Bem, nós não ouvimos falar de ninguém explorando ainda. Mas o sinal claro do Google de que 60% de todos os dispositivos Android atuais não receberão patches de segurança do navegador certamente foi bem-vindo aos invasores.Esperamos ver as explorações de navegadores do Android entrarem em várias coleções de explorações em massa, já que o Google abandonando o navegador usado na maioria dos dispositivos Android deixa um buraco que pode ser explorado livremente sem o risco de que os patches consertem os problemas.
É um pouco como os problemas de segurança com o uso do Windows XP - se o Windows XP ainda estava sendo usado pela maioria dos usuários quando foi abandonado. Sim, o ecossistema do Android é uma bagunça. O Google deve receber atualizações de segurança do navegador para seus usuários, mas não é.
