Prošli tjedan, sigurnosni istraživači tvrtke Alert Logic objavili su kôd za iskorištavanje Android WebKit preglednika na telefonima i uređajima sa Android 2.1 ili starijim verzijama. Iskorištavanje nije najozbiljniji problem ikad objavljen - čini se da nekome omogućuje web poslužitelj i sluša na određenom portu mogućnost da vidi povijest vašeg preglednika i medija skenera - ali treba ga riješiti brzo i brzo.
Zbog čega je Google to popravio - u proljeće kada je Froyo najavljen. Apple je to popravio. Ne mogu pronaći nijednu dokumentaciju, ali prilično sam siguran da je to učinio i HPalm. Govorit ću o tome malo dublje nakon prekida. Hvala Dave!
Koristim Linux pa sam možda malo isprazan, to sam želio reći unaprijed. Pretpostavljam da su ovog tjedna na HouSecConu - sigurnosnoj konferenciji u Houstonu, raspravljani i objavljeni brojni eksplozivi i sigurnosne rupe. Očekujem da će se dobavljači aplikacija, održavači Linux kernela, Microsoftovi softverski inženjeri, Apple-ovi inženjeri i svi drugi koji su uključeni u stvaranje softvera teško baviti njihovim krpanjem, uključujući ljude koji rade na Androidu. Svi koji koriste Windows ili Mac OS ili Linux uskoro će dobiti te zakrpe u obliku ažuriranja OS-a. Tvrtke poput Adobe ili Mozilla uskoro će dobiti i zakrpe kod nas.
Mobile je malo drugačiji. Korisnici iOS-a morat će pričekati još malo da zakrpe sve rupe u OS-u ako je potrebno, ali nakon što to učinite, Apple će to izvesti i svi mogu izdržati sat vremena i ažurirati ako žele. Google će dobiti ažurirano OTA korisnicima Nexus One, ako je potrebno, i sve zakrpe biti posvećeni kodnoj bazi. Zbog složenosti mobilnog OS-a može proći mjesec dana ili nešto više da dobijem neku od ovih zakrpa, a ja mogu živjeti s tim.
Ali što je s prijevoznicima? Ako danas izađem i kupim Android telefon, vrlo je dobra šansa da to neće pokrenuti Froyo. Ovisno o modelu, Froyo nikad neće biti pokrenut. To znači da pregledavanje interneta s ugrađenim web preglednikom nije sigurno. Da, rekao sam. Propust je u kodu Webkit, tako da je moguće da su preglednici trećih strana također nesigurni. Što prijevoznici očekuju od nas jer trenutno ne nude alternativu?
Vlastite prodavaonice aplikacija i bloat su dosadni. Mnogi to nazivaju fragmentacijom kada prijevoznici zaprljaju ruke i majmune izvornim kodom za Android. Ja tako zovem - izaberite sa svojim novčanikom. Ovo je malo drugačije. Zovem vas, prijevoznici - kako ćete se pobrinuti za sve svoje pretplatnike telefonima koje ne možete ili ne želite ažurirati, još uvijek su usred dugog i skupog ugovora o usluzi, a ipak ne mogu koristiti internet bez izlaganja sigurnosnim problemima? Što je s onim telefonima na vašim policama? Ostaviti svoje korisnike da vise, upravo je pogrešno, a svaki koji je proaktivan i poduzme same korake za popravljanje takvih stvari ostat će s vrlo skupim telefonom bez jamstva. Priđite do tanjura i zaradite nešto tog novca koji zarađujete od nas Android korisnika.
Bilo tko od vas koji imate dovoljno i spremni ste sve popraviti, uskočite na forume. Sada postoji stvarno dobar razlog za korijenje.
