CDIC 2023

กว่า 930 ล้านผู้ใช้ Android ตกอยู่ในอันตราย เมื่อ Google ยกเลิกการอัพเดทแพทช์

google_logo

เกือบพันล้านผู้ใช้ Android หรือเกินครึ่งหนึ่งของผู้ใช้งานสมาร์ทโฟนระบบปฏิบัติการ Android ทั่วโลก กำลังตกอยู่ในความเสี่ยงที่อาจจะถูกโจมตีผ่านช่องโหว่ของ WebView เนื่องจาก Google ได้ตัดสินใจยกเลิกการอัพเดท Security Patch บน pre-KitKat (v4.4) อีกต่อไป

WebView เป็นส่วนประกอบหลักของการแสดงผลเว็บเพจบน Android โดยที่ผู้ใช้ไม่จำเป็นต้องเปลี่ยนไปใช้แอพอื่น Android KitKat และเวอร์ชันหลังจากนั้นจะมาพร้อมกับ WebView เวอร์ชันใหม่ที่เป็น Chromium-based ซึ่ง Google จะมาเน้นโฟกัสการอัพเดท Security Patch ที่ตัวนี้แทน

การตัดสินใจยกเลิกการอัพเดทแพทช์บนเวอร์ชัน pre-4.4 WebView ของ Google นั้น ถูกประกาศโดยนักวิจัยของ Rapid7 ผู้ให้บริการซอฟต์แวร์ทางด้านความปลอดภัยชื่อดัง ที่ได้แจ้งเตือนช่องโหว่ของเวอร์ชันดังกล่าวไปยัง Google แต่ Google กลับตอบมาว่า พวกเขาได้หยุดพัฒนาแพทช์สำหรับเวอร์ชันนั้นไปแล้ว แต่ยินดีรับแพทช์ พร้อมกับรายงานคำแนะ เพื่อนำไปพิจารณาในการแชร์ต่อให้กับคนอื่นๆ

“เหตุผลที่ Google เปลี่ยนนโยบาย คือ ต่อไปนี้ พวกเขาจะไม่การันตีอุปกรณ์ของ 3rd Party ที่ใช้งาน Android Browser อีกต่อไปแล้ว และหนทางที่ดีที่สุดในการทำให้อุปกรณ์ Android ปลอดภัย คือ อัพเดทเป็นเวอร์ชันใหม่ล่าสุดแทน หรือพูดอีกอย่างหนึ่ง คือ อุปกรณ์ที่ใช้ JellyBean นั้นเก่าเกินที่จะซัพพอร์ทแล้ว ถึงแม้ว่ามันจะเวอร์ชันก่อนหน้าเวอร์ชันล่าสุดเพียง 2 เวอร์ชันก็ตาม” — Tod Beardsley หัวหน้าฝ่ายเทคนิค Metasploit Framework ของ Rapid7

มันอาจจะเป็นการตัดสินใจที่สมเหตุสมผล แต่ต้องพิจารณาด้วยว่า 60% หรือมากว่า 930 ล้านผู้ใช้ Android จะยังคงใช้ระบบปฏิบัติการเวอร์ชันต่ำกว่า KitKat และส่วนใหญ่ไม่สามารถอัพเกรดเป็นเวอร์ชันใหม่ล่าสุดได้

“จะมีการค้นพบบั๊คและช่องโหว่ใหม่ๆบน Android รุ่นเก่าๆเพิ่มขึ้นเรื่อยๆ เนื่องจากปริมาณการใช้งานที่เยอะและความปลอดภัยต่ำ Android รุ่นเก่ามีโอกาสสูงที่กลายเป็นเครื่องมือเอาไว้ใช้ในการโจมตีของแฮ็คเกอร์ ถ้า Google ไม่คิดจะเปลี่ยนความคิด” — Tod ให้ความเห็นเพิ่มเติม

ข่าวดีเพียงอย่างเดียว คือ Google ยังคงออก Backport Patch ให้สำหรับ pre-KitKat ส่วนอื่นๆนอกจาก WebView

android_kitkat

ที่มา: http://www.net-security.org/secworld.php?id=17814


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เชิญร่วมงานสัมมนาออนไลน์ Unlock the Limits of Your SAP System with Google Cloud โดย Tangerine [18 ต.ค. 2023]

พลาดไม่ได้! สำหรับองค์กรที่ใช้ระบบ SAP ซึ่งนับเป็นระบบสำคัญที่อยู่เบื้องหลังในการดำเนินธุรกิจให้สำเร็จ ซึ่งภายใต้การแข่งขันที่สูงขึ้นความสำคัญก็ยิ่งเพิ่มขึ้นตามไปด้วย ฉะนั้นจะทำอย่างไร? ให้ธุรกิจสามารถรองรับการใช้งานตามความต้องการที่มีการเปลี่ยนแปลงอยู่เสมอ และจะดีกว่าหรือไม่ หากสามารถนำข้อมูลภายใน SAP มาประยุกต์ใช้กับข้อมูลภายนอก สร้าง Analytics Dashboard ได้ง่ายและรวดเร็ว …