I en kunngjøring om Heartbleed (CVE-2014-0160) som Google har oppdatert flere ganger i løpet av den siste uken, opplyses det at Android 4.1.1 er berørt av denne mye omtalte OpenSSL-sårbarheten.
Android 4.1.1 kom i juli 2012 og ble erstattet av 4.1.2 tre måneder senere. Men det er langt fra sikkert at alle Android-enheter med versjon 4.1.1 har mottatt denne eller nyere oppdateringer.
Dermed kan det være mange Android-enheter i bruk hvor nettverkstrafikk kan avlyttes på grunn av Heartbleed-sårbarheten.
Et unntak
Google skriver at Android 4.1.1 er et begrenset unntak fra regelen om at Android er immun mot sårbarheten. Men det er ikke oppgitt noe anslag om hvor mange enheter dette utgjør. Ifølge Googles oversikt over andelene til de ulike Android-utgavene, som er basert på trafikktall over en periode på sju dager, er 4.1.x-versjonene (Jelly Bean) av Android fortsatt svært utbredt. Samlet benyttes disse av 34,4 prosent av de registrerte enhetene. Men det er ikke oppgitt hvor stor andel underversjonen 4.1.1 har, men BBC News skriver at det dreier seg om under 10 prosent av Android-enhetene, men likevel mange millioner enheter globalt.
Google opplyser at selskapet har distribuert informasjon til Android-partnerne om hvordan sårbarheten fjernes fra Android 4.1.1, men det er opptil den enkelt mobil- og nettbrettleverandører å rulle ut oppdateringen til sine egne kunder.
Dersom leverandøren ennå ikke har tilbudt Android 4.1.2 eller nyere til disse enhetene, er det nok lite sannsynlig at de vil bruke tid og penger på å oppdatere enhetene nå. Samtidig er dette en glimrende anledning for leverandørene som ønsker å framstå som seriøse, å oppnå akkurat dette.
Det selges fortsatt mange Android-enheter med Android 4.1.x i Norge (ja faktisk også med noe så foreldet som Android 2.3). Selv om en del av disse enhetene nok er billige, bør man definitivt velge noe som er nyere.
Les også:
- [30.07.2014] Alvorlig ID-sårbarhet funnet i Android
- [25.07.2014] Dropper OpenSSL i Chrome
- [20.06.2014] Android ble sikrere i går