Tuần trước,, các nhà nghiên cứu bảo mật tại Alert Logic đã phát hành mã để khai thác trình duyệt WebKit Android trên điện thoại và thiết bị chạy Android 2.1 trở về trước. Khai thác không phải là vấn đề nghiêm trọng nhất từng được phát hành - nó dường như cung cấp cho ai đó chạy máy chủ web và nghe trên một cổng nhất định khả năng xem lịch sử trình duyệt và trình quét phương tiện của bạn - nhưng nó cần được sửa chữa và nhanh chóng.
Đó là lý do tại sao Google đã sửa nó - vào mùa xuân khi Froyo được công bố. Apple cũng đã sửa nó. Tôi không thể tìm thấy bất kỳ tài liệu nào, nhưng tôi khá chắc chắn HPalm cũng vậy. Tôi sẽ nói về nó sâu hơn một chút sau giờ nghỉ. Cảm ơn Dave!
Tôi sử dụng Linux, vì vậy tôi có thể hơi mệt mỏi, tôi chỉ muốn nói điều đó lên phía trước. Tôi tưởng tượng rằng một số khai thác và lỗ hổng bảo mật đã được thảo luận và công khai trong tuần này tại HouSecCon - một hội nghị bảo mật được tổ chức tại Houston. Tôi hy vọng các nhà cung cấp ứng dụng, các nhà bảo trì nhân Linux, các kỹ sư phần mềm của Microsoft, các kỹ sư của Apple và bất kỳ ai khác có liên quan đến việc tạo ra phần mềm sẽ khó khăn trong việc vá chúng, bao gồm cả những người làm việc trên Android. Bất cứ ai sử dụng Windows, hoặc Mac OS hoặc Linux sẽ sớm nhận được các bản vá đó dưới dạng cập nhật hệ điều hành. Các công ty như Adobe hoặc Mozilla sẽ sớm có bản vá cho chúng tôi.
Di động có một chút khác biệt. Người dùng iOS sẽ phải chờ thêm một thời gian nữa để vá bất kỳ lỗ hổng nào trong HĐH nếu cần, nhưng sau khi hoàn thành, Apple sẽ tung ra và mọi người có thể mất một giờ và cập nhật nếu họ chọn. Google sẽ nhận được bản cập nhật OTA cho người dùng Nexus One nếu cần và có tất cả các bản vá được cam kết với cơ sở mã. Do sự phức tạp của một hệ điều hành di động, có thể mất một tháng hoặc lâu hơn để có bất kỳ bản vá nào trong số này và tôi có thể sống với điều đó.
Nhưng những gì về các hãng? Nếu tôi ra ngoài hôm nay và mua một chiếc điện thoại Android, rất có thể nó sẽ không chạy Froyo. Tùy thuộc vào mô hình, nó có thể không bao giờ chạy Froyo. Điều đó có nghĩa là duyệt internet với trình duyệt web tích hợp không an toàn. Vâng, tôi đã nói nó. Lỗ hổng nằm trong mã Webkit, do đó, có thể các trình duyệt bên thứ ba cũng không an toàn. Các nhà mạng mong muốn chúng ta làm gì, vì họ hiện không cung cấp bất kỳ sự thay thế nào?
Cửa hàng ứng dụng độc quyền, và phình to gây phiền nhiễu. Nhiều người gọi đó là sự phân mảnh khi các nhà mạng bị bẩn tay và khỉ với mã nguồn Android. Tôi gọi sự lựa chọn đó - chọn với ví của bạn. Điều này là một chút khác nhau. Tôi đang gọi bạn, các nhà mạng - bạn sẽ chăm sóc tất cả các thuê bao của mình bằng điện thoại mà bạn không thể hoặc sẽ không cập nhật, vẫn còn trong một hợp đồng dịch vụ dài và đắt tiền, nhưng không thể sử dụng internet mà không phơi bày ra vấn đề bảo mật? Còn những chiếc điện thoại trên kệ của bạn thì sao? Để người dùng của bạn bị treo là sai, và bất kỳ ai là người chủ động và thực hiện các bước để tự khắc phục những thứ này đều bị bỏ lại với một chiếc điện thoại rất đắt tiền mà không có bảo hành. Bước lên đĩa và kiếm một số tiền mà bạn kiếm được từ người dùng Android của chúng tôi.
Bất kỳ ai trong số các bạn đã có đủ và sẵn sàng sửa chữa mọi thứ, hãy nhảy vào các diễn đàn. Có một lý do thực sự tốt để root ngay bây giờ.
