บริษัท Rapid7 ผู้พัฒนา Metasploit ได้เขียนบล็อกแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชัน 4.3 หรือต่ำกว่า ให้ระมัดระวังในการใช้งานแอปพลิเคชันที่มีการเรียกใช้คอมโพเนนต์ WebView เนื่องจากมีช่องโหว่ด้านความมั่นคงปลอดภัยหลายจุดและ Google บอกจะไม่แก้ไขช่องโหว่เหล่านี้แล้ว
WebView เป็นคอมโพเนนต์ที่ช่วยให้แอปพลิเคชันสามารถแสดงผลหน้าเว็บไซต์ได้ เนื่องจากก่อนหน้านี้ WebView มีรายงานปัญหาด้านความมั่นคงปลอดภัยมาโดยตลอด ใน Android เวอร์ชัน 4.4 ทาง Google เลยตัดสินใจปรับให้ WebView ใช้เอนจินตัวเดียวกับ Chrome for Android และใน Android เวอร์ชัน 5.0 ทาง Google ได้แยก WebView ออกจากตัวระบบปฏิบัติการ ไปเป็นส่วนหนึ่งของ Google Play API เพื่อให้สะดวกในการแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัย
แต่สำหรับ Android เวอร์ชัน 4.3 หรือต่ำกว่า ที่ยังคงใช้ WebView เวอร์ชันเก่าอยู่ ทาง Rapid7 ได้ส่งอีเมลสอบถามไปยัง Google แล้วได้รับคำตอบว่า Google จะไม่พัฒนาแพตช์ให้กับ WebView ใน Android เวอร์ชันต่ำกว่า 4.4 อีก แต่ถ้ามีคนส่งแพตช์เข้ามาก็จะลองพิจารณาให้
Google ให้เหตุผลที่จะไม่พัฒนาแพตช์ว่า ปัจจุบันไม่มีอุปกรณ์ Android รุ่นไหนวางจำหน่ายโดยมี Android Browser อยู่ในเฟิร์มแวร์อีกแล้ว อีกอย่างวิธีที่ดีที่สุดที่จะใช้งานอุปกรณ์ให้ปลอดภัยคืออัปเดตให้เป็น Android เวอร์ชันล่าสุด
จากสถิติล่าสุดพบว่าผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชันต่ำกว่า 4.4 นั้นมีมากถึง 60% ซึ่งเป็นความเสี่ยงที่สูงมาก ทาง Rapid7 ขอร้องให้ Google ตัดสินใจเรื่องนี้ใหม่เพื่อไม่ให้ผู้ใช้จำนวนหลายล้านคนได้รับความเดือดร้อน
ที่มา - Rapid7
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
เทพจริง
"วิธีที่ดีที่สุดที่จะใช้งานอุปกรณ์ให้ปลอดภัยคืออัปเดตให้เป็น Android เวอร์ชันล่าสุด" ....
....
Respect My Jelly Bean ...
:-)
แพเกลื่อน ... ถึงเวลาเค้าบังคับให้ซื้อหุ่นตัวใหม่ ไม่รักโลกกันบ้างเล้ย .. เอายี่ห้อ "ไม่ทอดทิ้ง" แล้วกัน
เข้าใจผิดอะไรรึเปล่า? กูเกิ้ลไม่ใช่ไมโครซอฟท์นะ จะได้หวังให้มาซัพพอร์ทOSรุ่นเก่าๆเป็นเวลาสิบๆปี
ลอยแพจนชินแล้วไม่ใช่รึ โอเอสมือถือก็เป็นแบบนี้แหละ ของมันวิ่งไว
"วิธีที่ดีที่สุดที่จะใช้งานอุปกรณ์ให้ปลอดภัยคืออัปเดตให้เป็น Android เวอร์ชันล่าสุด"
Google ครับ แน่จริงก็ทำให้มันอัปเดตได้ทุกรุ่นทุกยี่ห้อก่อนเถอะ เอาตั้งแต่ Android 4.0 ระดับราคา 1,xxx ขึ้นไปเลยนะ แล้วค่อยมาพูด คนในโลกนี้ในหลายๆ ประเทศที่เขาไม่มีเงินมากมายก่ายกอง ไว้ซื้อโทรศัพท์ทุกรุ่นที่มีการอัปเดตหรอกนะ (น่าจับให้ CEO ของ Google ไปอยู่ในประเทศที่ไม่มีอันจะกินสัก 3 ปีดู จะได้รู้หัวอกคนจนซะบ้าง และจได้เอาไปเป็นโมเดลพัฒนา Android)
และอันที่จริงนะ ต่อให้ยี่ห้อไหนไปปรับแต่ง OS ยังไงก็ตาม แต่ Core มันก็คือ Android ทำไมไม่ทำให้ระบบสำคัญๆ ที่ไม่ได้เกี่ยวกับ UI มัน Autometic Update ได้
+1 ไหนๆก็ใช้ระบบ Google Play Service อยู่แล้ว
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
+1 โดนมากๆ ครับ
ประสาท คุณคิดว่าจะมีใครเค้าซื้อมือถือที่เป็นarmมาลง coreOS หรือไง
คุณจะสื่ออะไรหรือครับ? เพราะที่ผมโพสต์มานี้ ผมไม่ได้กล่าวถึง CoreOS เลยแม้แต่ตัวเดียว
สิ่งที่ผมจะสื่อ คือโทรศัพท์ยี่ห้อต่างๆ ที่นำเอา Android มี Google Service มาปรับแต่งให้มี UI ในรูปแบบของตัวเอง รวมถึงแอปฯ เฉพาะของตัวเองด้วย และไม่ว่ายี่ห้อใดๆ จะปรับแต่ง UI ยังอย่าง ตัว Core หรือแกนหลักของ OS ก็คือ Android ทำไมไม่ทำให้ส่วนที่เป็นระบบสำคัญสามารถ Automatic Update ตัวเองได้ จะได้ไม่ต้องมาปล่อย OS เวอร์ชั่นนั้น เวอร์ชั่นนี้ ให้ผู้ผลิตไปปรับแต่งระบบกันเอง แล้วจึงปล่อยให้อัปเดต และเพราะทำแบบนี้เอง ผมจึงต้องแขวะว่า
วิธีที่ดีที่สุดที่จะใช้งานอุปกรณ์ให้ปลอดภัยคืออัปเดตให้เป็น Android เวอร์ชันล่าสุด
ซึ่งมันไม่สามารถทำได้ เพราะไม่ใช่ Google nexus (แม้แต่ Google nexus รุ่นเก่า ยังไม่ได้ไปต่อเลย) แบบนี้มันก็เป็นการบอกตรงๆ แล้วว่า ในเมื่ออัปเดตไม่ได้ "ก็ซื้อใหม่สิ" จะได้โทรศัพท์ตัวล่าสุดมาใช้งาน ซึ่งมันเหมือนขาดความรับผิดชอบครับ
ที่ผมพูดถึงcoreOS เป็นมันเป็นOSตัวเดียวในโลก
ที่เป็นอย่างที่คุณพูด คือมีแต่core
การอัพเดทเป็นเวอร์ชั่นใหม่ไม่ได้ คุณคิดว่าที่ไม่ได้เพราะอะไร
อย่าบอกว่าเครื่องเก่า specไม่ไหว เลยup ไม่ได้
เพราะ hTC HD2 ออกต้นปี2009 ยังup 5.0.2ได้
สิ่งที่ผมสื่อคือ Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 ลงไป เหมือนโยนให้ผู้บริโภคอัปเดต 4.4.x โดยไม่ดูว่า เครื่องที่คนนั้นๆ ใช้อยู่รองรับการอัปเดตจากยี่ห้อนั้นๆ หรือไม่ ...ต่อเครื่องรองรับได้สบายถึง 4.4.x แต่ถ้าเจ้าของแบรนด์ไม่ปล่อย ROM ศูนย์ของตัวเองออกมาอัปเดตมันก็เท่านั้น นอกจากผู้ใช้จะเข้าสู่โหมด Advanced User ที่กล้าเอาเครื่องตัวเองไปเสี่ยงลง ROM โมฯ เท่านั้น ซึ่งแน่นอนว่า คนที่จะเล่น ROM Modify นั้น มีน้อยมากๆ ส่วนมากจะใช้อย่างเดียว ดังนั้นก็ต้องรอความหวังจากแบรนด์เป็นผู้ออก ROM มาเท่านั้น
นี่จึงเป็นสิ่งที่ผมบ่นว่า ทำไม Google ไม่ออกแบบ Core หลักของ Android สามารถอัปเดตได้โดยไม่ต้องพึ่งพาแบรนด์ต่างๆ รับไปทำแล้วปล่อยอัปเดตในยี่ห้อนั้นๆ ซึ่งเราก็รู้ๆ กันว่าถ้าแบรนด์นั้นไม่ออกอัปเดตซะอย่างใครจะทำอะไรได้ (ยกเว้นเข้าโหมด Advanced หาลง ROM โมฯ อื่นเอง) แค่นี้ก็ทำให้เครื่องที่ฮาร์ดแวร์รองรับ อัปเดตไปได้ไกลกกว่าที่เป็นอยู่ เหมือนกับที่ iOS ทำ ไม่งั้นก็ควรมีเครื่องที่ใช้ 4.4.4 มากกว่านี้แล้ว ไม่ใช่ยังต่ำกว่า 4.4.x ถึง 60% (ส่วนใครจะอัปหรือไม่อัปเดตก็เป็นเรื่องส่วนบุคคลแล้ว)
เรื่องที่ htc HD2 ลง Android 5.0.2 ได้ มันเป็นเรื่องของ Dev ไม่ใช่ว่าใครอยากทำก็ทำได้ครับ เพราะนี่ผมกล่าวถึงเรื่องของ User ไม่ใช่ Dev
จริงๆ แล้วคุยกันคนละเรื่องนะครับ
coreOS เป็นชื่อระบบปฏิบัติการณ์ส่วนที่ @HoLY CoMM@nDo พูดถึงหมายถึง core ของ OS ครับ
คุยกันแบบนี้เถียให้ตายก็ไม่จบ
งานนี้ Google ขาดความรับผิดชอบนะครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
+1
ออกทั้งupdate ทั้งverใหม่มาจน 5.0.2 แล้ว
คำว่า Google ขาดความรับผิดชอบ คืออะไร
OS มันเป็นแบบ opensource เปิดให้loadทั้งตัวosทั้งsource
ควรโทษผู้ผลิตมากกว่า สักแต่copyไปใช้ ออกมาเป็นร้อยรุ่นแต่ไม่support
ขาดความรับผิดชอบก็คือคุณเป็นผู้พัฒนาโอเอส เมื่อเกิดช่องโหว่ก็ควรแก้ไข เพราะรู้อยู่แล้วว่าโอเอสคุณจะให้อัพเดทเป็นเวอร์ชั่นใหม่เกือบทั้งหมดมันไม่ได้ จะไปโทษผู้ผลิตมือถืออย่างเดียวมันไม่ได้หรอก เพราะแนวทางที่ใันเป็นไปคุณเป็นผู้กำหนดไม่ใช่หรอ โอเพ่นซอสแอนดรอยคืออะไร ไม่ใช้กูลเกิ้ลเซอร์วิสได้มั้ย
สัดส่วนคนใช้เยอะขนาดนี้ ไม่ทำยังจะเรียกถามความหมายของคำว่ารับผิดชอบอีกหรอ
เรื่องสัดส่วนคนใช้เยอะน้อย มันเกี่ยว?
ก็เค้าupให้แล้วในcodeของOS
ที่ไม่ได้กัน เพราะผู้ผลิตไม่เอาcodeตรงนั้นไปใช้...ก็ผิดที่google?
"อัพเดทเป็นเวอร์ชั่นใหม่เกือบทั้งหมดมันไม่ได้"
คุณคิดว่าที่ไม่ได้เพราะอะไรล่ะ
อย่าบอกว่าเครื่องเก่า specไม่ไหว เลยup ไม่ได้
เพราะ hTC HD2 ออกต้นปี2009 ยังup 5.0.2ได้
ก็ยังคิดไม่ได้? ว่ามันผิดที่ google หรือผู้ผลิต
คือถ้าปัญหามากนัก ก็ซื้อnexusมาใช้ จะได้ไม่ต้องมาโวยวายโฟมฟายเรื่องupdate
หรือไม่ก็ไป iOS
กรณี HD2 คือ Dev นะครับ ไม่ใช่ User เพราะใช้วิธี Mod เครื่องเพื่อลง Android ซึ่งมันเป็น Windows Mobile 6.5 ไม่ใช่เครื่องที่เป็น Android ตั้งแต่แรกอยู่แล้ว ส่วนมือถือเจ้าอื่นๆที่ไม่ใช่ Nexus มันมี % คนใช้เยอะกว่าหลายเท่า แถมยังคาที่ 4.3 หรือต่ำกว่านั้นเกินครึ่ง และการไล่ให้ไปซื้อเครื่องใหม่ไม่ใช่ว่าจะมีทุนหนาพอกันทุกคนนะครับ
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
ด้วยตรรกะเดียวกัน Nexus ที่ได้อัพจากกูเกิลถึงเวอร์ชัน 4.4x ขึ้นไป คือตั้งแต่รุ่นที่ 4 ขึ้นไป
ปัจจุบันผมใช้ Nexus S กูเกิลหยุดอัพให้นานแล้ว แต่ผมใช้CM เลยยังได้ใช้ 4.4 อยู่ ผมด่ากูเกิลได้มั้ย?
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ต้องด่าเป็นลำดับไปครับ ตัว WebView นี่ต้องจัดการทางฝั่งกูเกิล ถ้ากูเกิลทำตามหน้าที่จบแล้วก็ค่อยด่าผู้ผลิตต่อไป
เรื่องแบบนี้พูดยากนิดนึงนะครับ
ถ้ามองเป็นเกมอย่าง Counter strike แล้ว version ใหม่ 1.6 ออกแพชมาป้องกันการโกง คนที่ยังเล่น 1.0 ควรจะได้แพชด้วยรึเปล่า? อันนี้ควรเป็นหน้าที่ของ dev หรือคนรัน server? ถ้า server ไม่ไหวที่จะรันเวอร์ชันใหม่ควรทำยังไง? ถ้าแพชป้องกันโกง เป็นแพชป้องกันการเปิดเผย IP ล่ะ?
เวลา update นี่ CS คนที่เล่นได้ update กันหมดทุกคนนะครับ ไม่อัพเดทก็เล่นไม่ได้
แต่ update Android นี่ผู้ใช้ไม่ได้รับอัพเดททุกเครื่องครับ จากปัญหาต่างๆทั้ง driver/kernel/proprietary ต่างๆของผู้ผลิต-ผู้พัฒนาซิพเซ็ต ที่เห็นๆคือผู้ใช้มากกว่า 50% ยังใช้ 4.3 ลงมา
ผู้ผลิตไม่อัพ OS ให้ผู้ใช้ก็ส่วนหนึ่ง แต่ Google ที่ไม่อัพให้แม้จะทำได้เนี่ย คำว่าขาดความรับผิดคงเป็นคำที่เหมาะสมแล้วครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
เข้าใจผิดแล้วครับ Google เขาอัพเดทให้ครับแต่ผู้ผลิตอย่าง HTC, LG, SAMSUNG และอื่นต่างหากจะปล่อยอัพเดทให้รึเปล่า
ผมว่าเขาพูดถูกแล้วนะครับ
Android ไม่เหมือน CS นะครับที่มันเหมือนกันทุก ๆ เครื่องได้โดยไม่ต้องทำอะไรอีก (ตัวเกมส์เดียวกัน)
แต่ Android มันต้องมีเรื่อง device tree ขนาดฟีเจอร์ที่ใส่เข้ามาแยกย่อยลงไปตามขีดจำกัดของเครื่องแต่ละรุ่นอีก เป็นเหตุให้พอออกอัพเดทมาต้องให้บริษัทที่ออกอุปกรณ์ต้อง compile เอง อัพเดทให้เอง
จากที่ว่ามา ผมเลยคิดว่ายังไง ๆ ก็เป็นความรับผิดชอบที่จะทำให้รุ่นเก่าด้วย
ถ้ากูเกิ้ลแก้ปัญหาดังกล่าวได้ก็ดีจะได้อัพกันได้คลอด แต่ถ้ายังเป็นแบบนี้มือถือรุ่นนึงอาจแพงกว่าที่คุณจะคาดได้ถ้าอยากให้มันอัพเดทตลอด ๆ นะ
โทษกูเกิลไม่ได้หรอกเชาเป็นโอเพนซอร์ต ให้ใช้ฟรี เขาออกมาถึง 5.0.2 ต้องโทษที่พวกผลิตยี่ห้อต่างๆไม่อัปเฟิร์มแวร์ไป 4.4.x ทั้งๆที่ 4.3 กินสเปก ไม่ต่างจาก 4.4 เท่าไหร่ ถามว่าแค่ 4.3 ที่กูเกิลรับผิดชอบไม่ถึง 60% อยู่ที่ผู้ผลิตเลย
ผมมองว่าตราบใดที่ไม่ได้ Fork Android เอง มันก็เป็นความรับผิดชอบของ Google นะ
เพราะไม่ถือว่าฟรีอยู่ดี ยังไงพี่แกก็ได้รายได้ทางอ้อมจากการ บังคับผู้ผลิตให้ใส่ Google Apps อยู่แล้ว
งง ว่าทำไหมไปเรียกร้อง Google ว้า ก็เค้าออก 4.4, 5.0 มาแล้วนิ พวกที่เอา OS ไปใช้ฟรีแต่ไม่อัพเดต(ลอยแพ)ลูกค้า พวกนี้ต่างหากที่ต้องค่อยแก้ไข
เห็นควรด้วยครับ
อันนี้เห็นด้วยจริงๆ ไม่ได้พิมพ์ไว้ให้ผวนใช่ไหมครับ :)
ใช่ครับ คือ งง ว่าไปโทษ Google ทำไม? เค้าก็ออก OS ตัวใหม่ ๆ ออกมาอยู่แล้ว ออกแพทซ์ความปลอดภัยอยู่แล้ว แต่คนที่ลอยแพจริง ๆ คือผู้ผลิตชิพเซท และค่ายมือถือต่าง ๆ ที่เอา Android ไปใช้แล้วไม่ออกอัพเดทให้ต่างหาก
เอ้อ ถ้าเป็น Nexus ว่าไปอย่าง และถึงแม้ว่า Nexus บางตัวจะอัพเป็น 4.4 ไม่ได้ ก็เพราะ Hardware มันเก่าจริง ๆ ก็สมควรที่จะเปลี่ยนใหม่ ไม่เคยเห็นใครโวยวายว่าทำไม CPU 486 รัน Windows 8 ไม่ได้ MS ทำไมไม่ทำออกมารองรับ
เพราะกูเกิลขยับตัวทีเดียวทุกคนก็ได้อานิสงส์ไงครับ
รู้สึกตัดสินใจถูกที่ขายแอนดรอยด์เครื่องนั้นทิ้งไป ไม่งั้นป่านนี้ก็คงยังค้างอยู่ที่ 4.3 จนถึงทุกวันนี้
https://www.blognone.com/node/53167 <-- สถิติ ก.พ. 2014 4.1-4.3 60.7% 4.4 ขึ้นไป 1.8%
https://www.blognone.com/node/64623 <-- สถิติ ม.ค. 2015 4.1-4.3 46% 4.4 ขึ้นไป 39.1%
ปีนึงผ่านไป ส่วนแบ่งของ 4.1-4.3 ลดลงไปแค่ประมาณ 15% คิดว่ามันจะยังอยู่ในโลกนี้อีกนานเท่าไหร่ครับ?
ถ้ากูเกิลคิดว่า "ฉันเปิดซอร์สให้แล้ว พัฒนาถึง 5.0 แล้ว พวกเธอไม่อัพเดทตามกันเอง ฉันไม่ผิด" ผมว่ากูเกิลขาดความรับผิดชอบมาก ๆ ครับ ผมซื้อมือถือเครื่องนึงราคาหลายพัน (บางเครื่องก็เกินหมื่น) ผมก็อยากให้มันอยู่กับผมไปหลาย ๆ ปีครับ
ใครบอกว่ามันเป็นความรับผิดชอบของผู้ผลิตมือถือ ก็จริงครับ นั่นก็ส่วนหนึ่ง (อาจจะส่วนใหญ่ด้วยมั้ง แต่มันไม่ใช่เรื่องไม่ยอมทำอย่างเดียว แต่มันมีเรื่องฮาร์ดแวร์ที่อัพไม่ไหวด้วย) แต่อย่าลืมว่ากูเกิลก็อัพเดทของตัวเอง (Nexus) แค่ 18 เดือนเองนะครับ มีใครคาดหวังให้มือถือตัวเองใช้ได้แค่ปีครึ่งบ้างครับ?
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
Microsoft คงรู้สึกว่าเป็น open source นี่ดีจริงลดกระแสคนด่าไปได้เยอะ
ขนาดเกิดHeartbleed ยังไม่ด่ากันแรงเท่าไมโครซอฟท์โดนเลยครับ
เป็นบริษัทที่คนเกลียดจนถึงหลานจริงๆ ทำอะไรพลาดไม่ได้แม้แต่น้อย
นี่รู้รึเปล่าครับว่า Heartbleed มันคืออะไร หรือแค่ได้ยินคนพูดถึงกันเยอะๆเฉยๆ
ลูกอมไงครับ //โกยแล้ว
รู้ครับ รู้ว่าใครเป็นคนเขียนท่อนนั้นด้วย
ปล. ช่างเถอะ ไงๆพูดต่อก็ไปสะกิดต่อมหาเรื่องผู้คน :p
บอกเป็นข้อมูลไว้ละกันครับ
google ค้นพบเมื่อวันที่ 21 มี.ค. หลังจากนั้นเพียง 18 วัน คนทั้งโลกก็ได้อัพเดทกันครับ
เอ่อ ปัญหานี้มันแค่ load chrome ไปใช้แทน Android Browser ไม่ใช่เหรอ?
ผมเข้าใจว่าถึงติดตั้ง Chrome แล้ว แต่พวกแอพยังเรียกเอนจินของตัวเดิมใช้อยู่นะครับ
ตามนี้
Jusci - Google Plus - Twitter