Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega
Matej Huš
13. jan 2015 ob 23:09:47
Google in Microsoft nadaljujeta obmetavanje z razkrivanjem ranljivosti in obtoževanje, kdo slabše skrbi za svoje uporabnike. Začel je Google, ki je konec decembra javno razkril podrobnosti o ranljivosti v Windows 8.1, še preden je Microsoft uspel zakrpati luknjo. Slednji mu ni ostal dolžan in je izpostavil, da ima Android 4.3 ranljivost, ki pa je Google sploh ne namerava odpraviti.
V zelo starih časi so se ranljivosti takoj po odkritju priobčile javnosti, proizvajalci programske opreme pa so hitro spisali popravke. Kasneje se je ta način umaknil tako imenovanemu odgovornemu razkritju (responsible disclosure) oziroma koordiniranemu razkritju ranljivosti (coordinated vulnerability disclosure), kot ga imenuje Microsoft. Za tem se skriva logika, da je ranljivosti neodgovorno predčasno razkrivati javnosti, ker jih lahko hekerji zlorabijo, temveč je bolje stopiti v stik s proizvajalcem in počakati, da se pripravi popravek. Toda v primerih, ko odgovora od proizvajalca ni ali pa je ta negativen, se ranljivost vseeno razkrije, saj poznavanje podrobnosti o njej olajša zaščito tudi brez uradnega popravka. Google je to mejo postavil na 90 dni, zato so 30. septembra odkrito ranljivost 30. decembra javno priobčili.
Microsoft se je na Googlovo potezo burno odzval in Google obtožil, da mu je šlo bolj za publiciteto kakor za zaščito uporabnikov. Microsoft je namreč popravek izdal v januarskem paketu popravku (Patch Tuesday), zmotilo pa jih je Googlovo trmasto vztrajanje pri razkritju, čeprav so jim v Redmondu povedali, da je popravek nared in bo kmalu izdan. V tem pogledu imajo prav, saj je 90-dnevno okno namenjeno neodzivnim proizvajalcem. Če Google se seveda brani, da je njihova politika za vse enaka in da je 90 dni več kot dovolj časa za odpravo kakršnekoli ranljivosti. Microsoft je imel popravek končan že prej, a so čakali na drugi torek v mesecu, ko izhajajo popravki za Microsoftovo programsko opremo, če ni izrednih razlogov za takojšnjo izdajo.
Zgodba je dobila zanimivo nadaljevanje, ko je Microsoft udaril po Googlu zaradi ranljivosti v Androidu 4.3. Ker je ranljivost prisotna v WebKitu, medtem ko ga Android 4.4 in 5.0 za WebView uporabljata Blink, slednja nista ranljiva. In to po Googlovem mnenju zadostuje, zato popravka ne bo. Google je jasno povedal, da za verzije pred 4.4 popravkov ne razvijajo, temveč partnerje le obvestijo o najdeni ranljivosti. Če luknjo popravi kdo drug, obliž vključijo v repozitorije, sicer pa ne.
Android 4.3 ima kar 60-odstotni delež med androidnimi pametnimi telefoni, situacija pa je bolj zapletena kakor pri Windows ali iOS. Medtem ko se Applove naprave tako ali tako posodabljajo na najnovejšo še podprto verzijo iOS in je Windows v času trajanja podpore načeloma mogoče enostavno posodabljati, je z Androidom drugače. Google popravke izda in vključi v Android Open Source Project, potem pa jih morajo proizvajalci posameznih modelov telefonov pobrati in prilagoditi za svojo kodo, ter operaterji na koncu odobriti, da jih lahko uporabniki namestijo. Za konkretno ranljivost se to ne bo moglo zgoditi, ker se Google sploh ne bo vključil.
Nadgradnja na Android 4.4 oziroma 5.0 seveda ranljivost odpravi, a nadgradnja na 5.0 za veliko večino telefonov sploh še ni pripravljena, številni pa je sploh ne bodo dobili, kakor ne bodo dobili niti 4.4. Razlogi so povsem pragmatični, saj se proizvajalcem, ki na telefone nalagajo prilagojeno (OEM) verzijo Androida, enostavno ne splača posodabljati starejših modelov. In tako uporabniki obtičijo z luknjastimi sistemi, pa si sploh ne morejo pomagati. Google pa je v tem primeru brez moči, saj nadgradnje ne more vsiliti, a to ni izgovor, da se niti ne potrudijo zakrpati Androida 4.3.