I sidste uge frigav sikkerhedsforskere ved Alert Logic koden til at udnytte Android WebKit-browseren på telefoner og enheder, der kører Android 2.1 eller tidligere. Udnyttelsen er ikke det mest alvorlige problem, der nogensinde er frigivet - det ser ud til at give nogen, der kører en webserver og lytter på en bestemt port, muligheden for at se din browser- og mediescannerhistorie - men den skal rettes og hurtigt.
Derfor fik Google det rettet - i foråret, da Froyo blev annonceret. Apple fikseret det også. Jeg kan ikke finde nogen dokumentation, men jeg er temmelig sikker på, at HPalm gjorde det også. Jeg vil tale om det lidt dybere efter pausen. Tak Dave!
Jeg bruger Linux, så jeg er måske lidt oversvømmet, jeg ville bare sige det foran. Jeg kan forestille mig, at en række udnyttelse og sikkerhedshuller blev drøftet og offentliggjort denne uge på HouSecCon - en sikkerhedskonference, der blev afholdt i Houston. Jeg forventer, at applikationsudbydere, Linux-kernelvedligeholdere, Microsoft-softwareingeniører, Apple-ingeniører og alle andre, der er involveret i oprettelsen af software, er hårde i arbejde med at lappe dem, inklusive de mennesker, der arbejder på Android. Alle, der bruger Windows, Mac OS eller Linux, får snart disse programrettelser i form af OS-opdateringer. Virksomheder som Adobe eller Mozilla vil også have patches ud til os.
Mobil er lidt anderledes. iOS-brugere bliver nødt til at vente lidt længere med at lappe eventuelle huller i OS, hvis det er nødvendigt, men når det først er gjort, vil Apple rulle det ud, og alle kan tage en time og opdatere, hvis de vælger at gøre det. Google får om nødvendigt en opdatering af OTA til Nexus One-brugere og har alle de rettelser, der er forpligtet til kodebasen. På grund af kompleksiteten i et mobilt operativsystem kan det gå en måned eller deromkring at få nogen af disse programrettelser, og det kan jeg leve med.
Men hvad med transportørerne? Hvis jeg går ud i dag og køber en Android-telefon, er der en meget god chance for, at den ikke kører Froyo. Afhængig af modellen kører det muligvis aldrig Froyo. Det betyder, at det ikke er sikkert at surfe på Internettet med den indbyggede webbrowser. Ja, jeg sagde det. Fejlen findes i Webkit-koden, så det er muligt, at tredjeparts browsere også er utrygge. Hvad forventer luftfartsselskaberne, at vi skal gøre, da de i øjeblikket ikke tilbyder noget alternativ?
Egenforetagne app-butikker, og oppustethed er irriterende. Mange kalder det fragmentering, når transportører får deres hænder beskidt og abe med Android-kildekoden. Jeg kalder dette valg - vælg med din tegnebog. Dette er lidt anderledes. Jeg ringer dig ud, transportører - hvordan skal du tage dig af alle dine abonnenter med telefoner, du ikke kan eller ikke vil opdatere, stadig er midt i en lang og dyr servicekontrakt, men alligevel ikke kan bruge internettet uden at udsætte sig for sikkerhedsspørgsmål? Hvad med de telefoner på dine hylder? At lade dine brugere hænge er bare forkert, og ethvert, der er proaktivt og tager skridt til at ordne denne slags ting, står med en meget dyre telefon uden garanti. Træd op til pladen, og tjen nogle af de penge, du tjener fra os Android-brugere.
Enhver af jer derude, der har fået nok og er parate til selv at ordne tingene, spring ind i foraene. Der er en rigtig god grund til at rodfæste nu.
