Elavult böngészők mindenhol
A belga KU Leuven egyetem kutatói átfogó elemzést végeztek: okostévék, autók, e-könyv-olvasók, játékkonzolok beépített böngészőit vizsgálták meg. Saját fejlesztésű, közösség által vezérelt eszközt – a CheckEngine-t – használtak, amelynek segítségével önkéntesek ellenőrizhették saját készülékeiket. Kiderült, hogy a 35 vizsgált okostévé közül 24-ben, valamint az összes vizsgált e-könyv-olvasóban a böngészők legalább hároméves lemaradásban vannak az aktuális verzióhoz képest – még a vadiúj eszközök esetén is.
A kutatók szerint aggasztó, hogy több gyártó már a boltokba kerüléskor elavult böngészőt csomagol a termékbe. A vizsgált eszközök közül nyolcban legalább hároméves lemaradást találtak. Sokan ígérnek frissítéseket és biztonsági javításokat, de a böngészőket valójában gyakran magukra hagyják.
Gyakorlati példák és fejlesztői hibák
Az egyik legsúlyosabb példa a Boox Note Air 3 e-könyv-olvasó, amely 2024 januárjában jelent meg, mégis egy 2020-as Chromium 85 böngészőre épül. Négy frissítésen keresztül sem érkezett javítás a beépített böngészőre, a gyártó ügyfélszolgálata pedig félrevezető információkat adott a hibáról, így a kutatók végül uniós hatósághoz fordultak.
A vizsgálatban szereplő okostévék, játékplatformok (például Steam, Ubisoft Connect), illetve az AMD Adrenalin szoftvere is hasonló hiányosságokat mutatott. A Steamnél például sikerült megtévesztő, adathalász üzeneteket létrehozni a régi böngészőverziókban, az AMD szoftverében pedig valós címsor-hamisítási hibát bizonyítottak, amelyet a gyártó elismert és elkezdett javítani.
Apró figyelmetlenségek, súlyos következmények
A fejlesztők gyakran olyan keretrendszereket használnak – mint például az Electron –, amelyeknél a böngésző frissítése az egész rendszer újraépítésével jár, ami jelentősen növeli a fejlesztési költségeket, és elkerülhetetlenül késlelteti a javításokat. Más esetekben a gyártók egyszerűen nem fordítanak figyelmet az ilyesfajta biztonsági kérdésekre.
Szabályozás nélkül nincs változás
Az új európai szabályozás 2024 decemberétől, átmeneti időszakkal, 2027 végétől kötelezően előírja majd a készülékgyártóknak, hogy a rendszereikbe épített szoftvereket biztonságos állapotban tartsák. Ez azonban nem jelenti azt, hogy a jelenleg piacon lévő eszközök hirtelen biztonságossá válnak. A kutatók hangsúlyozzák, hogy önszabályozás helyett inkább szigorú előírásokra van szükség, különben a beépített böngészők továbbra is kiberbiztonsági rést jelentenek.
Mindezt figyelembe véve a korszerű külső böngészők rendszeres frissítése nem elegendő, ha közben autóink, tévéink vagy e-könyv-olvasóink évekkel régebbi, sérülékeny szoftvereken működnek.
