Google dropper opdateringer til Android 4.3 Jelly Bean og ældre versioner

Illustration: Android Logo
Over 930 millioner telefoner vil fremover være have sikkerhedshuller, som Google ikke har planer om at lappe.

Sikkerhedsudviklere har fundet en bug, der berører 60 procent af telefonerne med Android OS 4.3 og ældre versioner, men Google har ikke planer om at gøre noget ved det. Det skriver BBC.com.

Tod Beardsley og Joe Vennix fra det uafhængige sikkerhedsfirma Rapid7 fandt fejlen og underrettede Google i forventning om, at firmaet ville tage affære.

Læs også: Google frigiver exploit til Microsoft 0-dagssårbarhed efter frist på 90 dage

Men i stedet fik de nedenstående besked fra Google:

»Hvis den berørte version [af Webview] er fra før 4.4, gør vi generelt ikke mere ved [fejlen, red.]det. Skulle en patch følge med sikkerhedsrapporten, vil vi byde den velkommen og overveje at implementere den,« refererer Arstechnica, der skriver detaljeret om sikkerhedshullet og korrespondancen med Google.

Læs også: Microsoft revser Google efter tidlig afsløring af 0-dagssårbarhed

Ifølge Googles egne tal, har over 60 pct. af brugerne stadig Android 4.3 eller ældre på deres smartphone.

Fremover er det kun brugere med Android (Lollipop, eller 5.0) og forrige version (KitKat, eller 4.4), der kan forvente fuld sikkerheds-understøttelse.

Det får Ted Beadsley - der med sin makker i forvejen har fundet 11 sikkerhedshuller i Webview-komponenten i 4.3 - til at undre sig over, at Google har ændret retningslinjer og ikke vil opdatere sikkerheden.

»Det kunne godt se ud som om, at over 930 millioner telefoner nu er ude af Googles officielle sikkerheds-opdateringer,« skriver Ted Beadsley på sin blog.

Google har ikke ønsket at kommentere nyheden over for BBC.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Rene Jensen

Da KitKat sagtens kan installeres på Android 4.3 Jelly Bean smartphones (brug Google search og YouTube), skal brugerne blot opgradere til KitKat.
Dette er muligt, idet KitKat bla. blev udformet og designet til dette formål (mindre RAM-forbrug end Jelly Bean), og endda får brugeren al KitKat funktionalitet med mindre hardwaren ikke understøtter dette.
Dette er IKKE muligt på iOS og Windows Phone enheder, hvor man IKKE kan installere nyere OS-versioner på mange ældre enheder eks. Iphone4.
Men overskrifter trækker læsere.. og det er åbenbart, som det er i 2015...

  • 4
  • 15
Tim Lauridsen

Det er meget normal at man kun laver sikkerheds opdateringer til den nyeste version(Lollypop) + den forrige version (kitkat).
Jelly Bean er fra 2012, så mobil fabrikanterne har haft masser af tid til at sørge for at telefonerne bliver opgraderet og det er dem som har ansvaret for opdateringer af softwaren til deres telefoner, så det er det hjælper ikke pege fingre af Google.
Selv om google rettede fejlen i jelly bean kode, så vil det jo stadig kræve at mobil producenterne skulle implementer det på deres telefoner og hvis disse telefoner stadig kører Jelly bean, så kommer det ikke til at ske, for så ville de allerede havde opgraderet til min. kitkat.

  • 16
  • 2
Jan Gundtofte-Bruun

skal brugerne blot opgradere til KitKat


Det er nok et fåtal af de 930 millioner telefoner, som ejes af folk der er nørdede nok til at ville påtage sig at installere en ny ROM. Det er altså hverken "bare" eller "blot", selv om vi er mange der ville ønske det var sådan.

Selv har jeg kørt CM i årevis, og er forfærdet over at se svigermors vildt forvirrende "vendor custom" ROM (samsung? jeg husker det ikke). Jeg vil gerne lægge en CM på hendes telefon, og/eller "Phonotto" som home screen -- det vil være gavnligt for hende, men hun har NUL chance for at gøre det på egen hånd. Bare det at vide at man kan den slags hører nærmest eliten til...

Det ville klæde Google at passe bedre på størstedelen af deres produkter.

Du får en upvote fra mig, om ikke andet så fordi tanken er god.

  • 21
  • 1
Mads Bendixen

Dette er IKKE muligt på iOS og Windows Phone enheder, hvor man IKKE kan installere nyere OS-versioner på mange ældre enheder eks. Iphone4.


iPhone 4 fik opdateringer i 4 år efter den blev frigivet. Så gammelt er Android 4.3 ikke.
Generelt set, er Apple bedre til at tilbyde de nye software-versioner til ældre modeller, end producenter af Android-telefoner.
Galaxy Nexus, fra 2011, kan f.eks. kun få Android 4.3.

Desværre.

  • 8
  • 2
John Does

Igen får Google skylden for noget de reelt set ikke er herre over. Det er jo ikke Google der udgiver opdateringen til din Samsung Galaxy S4, eller din LG G2.

Måske man i stedet skulle forsøge at rette energien imod producenterne af telefonerne i stedet. Oftest er det dem der, indenfor et halvt til et helt år, vælger at afbryde al support af telefonerne. Dette gør jo at de ikke bliver opdateret.

  • 6
  • 9
John Does

Det ville klæde Google at passe bedre på størstedelen af deres produkter.

Undskyld mig, men hvad mener du med "størstedelen af deres produkter"? Google producerer udelukkende deres Nexus serie når det kommer til telefoner. Og de er mig bekendt alle opdateret til den nye 5.0.1 - Undtagelsen er Samsung Galaxy Nexus og Nexus One som begge er begrænset af deres hardware. Det er så også 4 og 5 år gamle telefoner, så de har udstået deres værnepligt!

Android er open-source, derfor kan det aldrig være Google's ansvar at Samsung, LG, Motorola, Sony og HTC opdaterer til det nyeste. Det er udelukkende førnævnte producenter's ansvar.

  • 7
  • 4
Harry Jessen

Google opdaterer sommetider filer i selve systemet og normalt er der ingen der bemærker det, da brugeren ikke bliver spurgt om de vil installere den, det sker bare. Så Google kan udmærket kritiseres hvis det er en fejl i selve Android og som de forskellige producenter ikke ændrer når de laver deres Rom til telefonen.

  • 0
  • 4
Jan Gundtofte-Bruun

Undskyld mig, men hvad mener du med "størstedelen af deres produkter"?


John, jeg refererede til de "60%" fra artiklen. Du har dog ret i at det ikke er deres telefoner, men "blot" deres styresystem. Også korrekt at det ofte er producenterne som undlader at udsende opdateringer til selv relativt nye telefoner.

I øvrigt også værd at bemærke at major releases fra andre leverandører (MS!) heller ikke gives til forbrugerne gratis, men der bliver de ældre versioner (såsom meget apropos Windows 7) dog holdt i live med sikkerhedsopdateringer. Jeg håber ikke at folk forventer at få Android 5 på deres 4 år gamle telefon (som nok blev leveret med Android 2.2?), men det er vel rimeligt at forvente, at den næst-mest udbredt version (den kun 2½ år gamle Jellybean v4.1) stadig får patchet sikkerhedshuller.

Se i øvrigt Android historical version distribution fra Wikipedia.

  • 7
  • 0
Nikolaj Bech

Selv om det er producenterne der i de fleste tilfælde er dem der skal distribuere opdateringer er de vel stadig afhængig af at der er en opdatering. Så længe Google ikke har lavet denne opdatering ligger bolden hos dem.

Men hvor længe efter man har købt en telefon (alternativt hvor længe efter at producenten er stoppet med at levere produktet) bør man kunne forvente opdateringer? Jeg købte en Samsung Galaxy S3 Mini til knægten sidste år, den kører 4.1.x og vil aldrig blive opdateret, men hvis jeg skulle købe en med nyeste version og en forventning om opdateringer skulle jeg en del over de 1000 kr. jeg måtte slippe den gang. Et hurtigt tjek viser at man stadig kan købe en Galaxy S3 (ikke mini) med 4.1 hos Elgiganten (om den så kan opdateres bagefter ved jeg så ikke).

Diskussionen minder om den der også er for opdateringer til routere og lign. til hjemmebrug (selv om problemet sikkert ikke er meget mindre for business routere).

  • 5
  • 0
Jarnis Bertelsen

Men hvor længe efter man har købt en telefon (alternativt hvor længe efter at producenten er stoppet med at levere produktet) bør man kunne forvente opdateringer?


Man kunne fx begynde at betragte et (alvorligt) sikkerhedshul som en skjult mangel, hvilket vil gøre den almindelige reklamationsret i EU gældende. Sælgeren kan så vælge at udbedre problemet, give kunden et tilsvarende erstatningsprodukt uden manglen, eller give pengene igen. Jeg tror EU er et stort nok marked, til at de fleste producenter ville rette ind ret hurtigt, selvom det kunne betyde at færre modeller blev solgt i EU lande.

Yderligere kunne man med produktansvar for software gøre producenten ansvarlig for ethvert tab ved misbrug af (kendte?) sikkerhedshuller, såfremt brugeren/kunden havde handlet ansvarligt og indstalleret tilgængelige sikkerhedsopdateringer indenfor rimelig tid.

  • 3
  • 0
Harry Jessen

Hvis det sker vil alle producenter flygte fra Android.

Hvis det er en system komponent, kan Google opdatere den uden at der skal de store problemer, da de til enhver tid kan opdatere system filer. Det eneste brugeren måske vil se, er en spontan genstart af telefonen,hvilket ikke engang er sikkert.

Så så længe det er tale om selve systemet mener jeg at det er googles ansvar at sørge for at system komponenter bliver opdateret, da det er dem der har det overordnede ansvar for selve det grundlæggende system.

Hvis der er sikkerheds huller i det producenten har lagt oveni er det naturligvis producentens ansvar.

Jeg vil så godt gøre opmærksom på at jeg hermed ikke mener at der skal opgraderes til en nyere version af Android, hvilket producentens ansvar, men derimod den eller de filer der er problemer med i det system de har givet til producenterne.

Egentlig nøjagtig som Microsoft opdaterer ældre versioner af Windows, da de har ansvaret for det, hvorimod det er producenternes ansvar at sørge for at det de har lagt ekstra ind er deres ansvar. Hvilket iøvrigt burde kunne udløse nogle kæmpe erstatningskrav med alt det lort de sommetider lægger på en Windows maskine.

  • 4
  • 1
Jarnis Bertelsen

Hvis det sker vil alle producenter flygte fra Android.


Flygte til hvad? Andre systemer, incl. Windows Phone, Sailfish, og hvad der ellers måtte findes af alternativer, ville være dækket af samme ansvar (iOS ikke nævnt da det ikke er åbent for at licensere). Det er muligt at pricen ville blive højere, men det vilel være en mere reel pris, end én der kan ende med at påføre slutbrugeren uforudsete og uundgålige omkostninger. Jeg tvivler på at ret mange producenter af telefoner ville holde helt op med at producere, hvis man indførte produktansvar for deres produkter.

Det er muligt at flere ville lave deres egne distributioner af OSS Android, så de selv har kontrol over om de vil lave sikkerhedsopdateringer. Andre vil sikkert forhandle en aftale med Google, så Google har ansvaret for sikkerhedsopdaterignerne (eller mangel på samme) i produktets levetid. De vil givetvis klynke over det uretfærdige forhold, at de skal st til ansvar for deres produkter, men så længe det er lige for alle, kan jeg ærlig talt ikke se problemet.

Jeg kunne forestille mig at jeg overser forhold, der ville skævvride konkurrencen mellem små og store producenter i forhold til idag. Det er også muligt jeg overser problemer med faldende salg, hvis alle modeller blev fx 20% dyrere, eller at det ville ramme skævt så billige telefoner ville blive uforholdsmæssigt meget dyrere. Der kan være masser af andre problemer med at ændre status quo. Men at alle producenter af Android telefoner ville stoppe med at producere, vælge et andet OS eller trække sig fra det europæiske marked, dét ser jeg ikke ske.

  • 2
  • 0
Jimmy Christiansen

Men hvor længe efter man har købt en telefon (alternativt hvor længe efter at producenten er stoppet med at levere produktet) bør man kunne forvente opdateringer?


Minimum 5 år efter de stoppede med at levere produktet må være rimeligt.
Da langt de fleste har deres smartphones på nettet. Er sikkerhedsopdateringer essentielle for at kunne bruge telefonen som tiltænkt.

Det kan så gøres via opdateringer til den oprindelige OS version.
Eller kombineret ved officielle opgraderinger til nyere versioner af OS'et. Hvor kun det opgraderede OS modtager sikkerhedsopdateringer.

  • 0
  • 1
Jimmy Christiansen

Jeg håber ikke at folk forventer at få Android 5 på deres 4 år gamle telefon (som nok blev leveret med Android 2.2?), men det er vel rimeligt at forvente, at den næst-mest udbredt version (den kun 2½ år gamle Jellybean v4.1) stadig får patchet sikkerhedshuller.


Jo. Jeg forventer enten at få sikkerhedsopdateringer til 4.0.4 som min SGS2 har været solgt med, eller opgradering til version 5.

Det burde jo ikke kunne passe at en ned til ~3 år gammel telefon ikke bliver sikkerhedsopdateret ( jeg regner med at SGS2 blev solgt fra januar 2011 indtil ~2 kvartal 2012 ).
Men det ser desværre ud til at det er tilfældet. Og eneste opgraderingsmulighed til 5 er cyanogenmod eller tilsvarende ( som kan køre på hardwaren ).

  • 3
  • 1
Bent Jensen

Når noget er OpenSource, og kan hentes og bruges frit, så kan man jo ikke begynde at stille krav til grad af Friheden. Google har prøvet på at få producenterne til at give en garanti for et minimum af opgraderinger, dem har alle så ikke fuldt.
Amazon som jo også bruger androide i deres egen version I Fire, og selv MS bruger jo også Android i sin helt egne versioner.
Producenten vil jo heller sælge en "ny" telefon, istedet for at man bruger sin telefon til hardwaren er slidt op.

Den bedste måde til at få nye opgraderinger er at dele ens skuffelser, så man kan fra vælge de dårlige producenter, samt fremhæve de gode.
Googles Nexus serie får langt hen af vejen hurtigst den nyeste versioner, og prisen er under halvdelen for en "næsten" topmodel.

Jeg selv vil ikke anbefale HTC, de ødelagde det jo også for dem selv med "deres" ikke understøttelse af blandt andet Dream, en af grunden til at Samsung overhalet dem. De har en rimeligt opdatering.

Men den værste, som jeg MEGET gerne vil hænge ud på denne side, til spot og advarsel er ASUS. Et halv år efter jeg købte min Asus TF700T med Keyboard til 7500,- droppet de alt opdatering. Samt den sidste opdatering der kom, ikke var et fremskridt med et tilbageskridt fuld af fejl Det er meget dårligt service for så dyr en Tablet. Det gør det heller ikke bedre, at deres service er noget af det værste jeg har set, det kan tage op til 3-4 måneder for dem at skifte en skærm, så hold jer langt væk fra dem.

  • 3
  • 0
John Does

Selv om det er producenterne der i de fleste tilfælde er dem der skal distribuere opdateringer er de vel stadig afhængig af at der er en opdatering. Så længe Google ikke har lavet denne opdatering ligger bolden hos dem.

De har jo lavet en opdatering. Den kaldes Android 4.4 KitKat. At producenten af DIN telefon så ikke vælger at tage denne i brug vil ALDRIG blive Google's ansvar, hvordan kan det det? De har gjort opdateringen til rådighed, de annoncerer dem endda i stor stil, og alligevel vælger producenterne ikke at gøre noget.

Og hvorfor? Fordi de langt hellere vil sælge dig deres helt nye produkter.

  • 2
  • 0
Tony Allen

Købte en ny Android mobil ultimo November 2012. Modellen kostede ca. 4.000 kr og var sprit-ny på markedet. I dag, mindre end 2 år og 2 måneder senere er den så outdated!?!? Har hverken tid eller lyst til at skulle bøvle med installering af en ny ROM som fx CM (som forøvrigt ikke ser ud til med sikkerhed at ville virke på min model) Den almindelige forbruger er fløjtende ligeglad med, om det er Google's eller telefonproducentens ansvar/problem. 5 års sikkerhedsopdateringer må som minimum kunne forventes! Det her er simpelthen for sløjt og som de fleste, hvis ikke alle kunder, føler jeg mig r..rendt, C'mon Google!!!! :-(

  • 3
  • 2
Jarnis Bertelsen

Jeg er enig i at hovedansvaret ligger hos producenterne. At langsigtet kundetilfredshed ikke indgår i deres forretningsstrategier, eller at de kan tillade sig at være ligeglade, fordi de alle har samme ringe service kan undre, men det ser nu engang ud til at være tilfældet i 2015.

Jeg mener stadig et lovfæstet produktansvar, gennemført på EU niveau er den rigtige løsning, men det er nok et langsigtet mål. Her og nu er det Google der har muligheden for at gøre noget ved problemet. De har allerede lavet tiltag i deres kontrakter, noget med forpligtelse til 18 måneders opdateringer, så vidt jeg husker. Jeg tror de har musklerne, til at gennemtrumfe at producenterne udruller alle tilgængelige sikkerhedsopdateringer til den version af Android, der blev leveret med telefonerne, minimum 3 og måske 5 år. Dermed er det selvfølgelig Googles ansvar også at lave sikkerhedsopdateringer til de ældre versioner af Android, så producenterne kan nøjes med mindre opdateringer og ikke hele versions opgraderinger.

Hvis det er for dyrt for producenterne at lave disse mindre opdateringer, er det et symptom på et underliggende problem i Android, hbvor der må mangle et ordentligt patch system og hvor de ændringer af systemet producenterne tilsyneladende føler sig nødt til at lave, har for stor chance for at gå i stykker ved mindre ændringer i det underliggende. Jeg har ikke nogen grund til at tro at Android har et sådan problem, så jeg tror som sagt at Google kunne gennemtvinge en ændret praksis hos producenterne.

  • 2
  • 2
Jesper Lund Stocholm Blogger

Når noget er OpenSource, og kan hentes og bruges frit, så kan man jo ikke begynde at stille krav til grad af Friheden.


Mig bekendt er der ingen af de store producenter af Android-telefoner (måske med undtagelse af Huawei), der bruger "OSS Android" - de får den allesammen direkte fra Google og brander den herefter selv med deres egen software og UI. Google stiller en masse krav til disse producenter omkring brug af apps, deres placering etc, så hvis de ville, så kunne de nok også stille krav til opdatering af telefonerne.

At Android er OSS er ikke et argument for, at Google ikke kan gøre mere. Og så er jeg enig med Jarnis i, at jeg ikke på nogen måde kan se, hvilket alternativ Android-producenterne skulle have til Android - selv hvis Google højnede deres krav. Umiddelbart virker Google mere interesseret i at fremme brugen af deres services end at fremme sikkerheden på Android (og deres kunders oplevelse med den).

  • 7
  • 0
Bent Jensen

Hvis man er en mobiludvikler, vil man nok bruge sine udviklings kræfter på
nye modeller, da de skal være så gode som muligt og skal sælges og give indtjening.

Service og opdatering giver ingen penge i kasse, men kun et mistet salg om måske 2-3 år, så hvis direktøren er aktie belønnet med næste års aktiekurser, så er han helt ligeglad, da det koster ham personligt nu, at bruge penge på noget gamle og ikke nyt.
Fordelen og grunden til mange firma med kort tidshorisont for indtjeningen.

Kun firma som er service mindet, eller kan se over deres næste tip, og tænke længer ind næste aktionærårsmøde, tager opdateringer seriøse.

Det eneste, og også langt det bedste vi som forbruger kan gøre, er at vælge telefoner fra producenter med en god historik med opdateringer. Så understøtter vi også disse firmaer, og de kan se at service kan betale sig.
Grunden til at jeg ikke fik det gjort med min første smartphone., ja det var at det var en af den første rigtige Android smartphone, og den blev solgt på grund af manglende opdateringer, og mange programmer jeg ikke kunne bruge

Så med hensyn til hvor lang tid vi kan forlange opdateringer ?

Alt efter model, pris og salg 2-4 år, efter sidstesalg, efter min mening.
Telefonen virker jo stadig, selv om der ikke kommer opdateringer.
Samt efter 4.4 er nye tiltag og forbedring ikke de store.
Android er nu så udviklet, og voksen at man ikke mangler noget, og det er ikke som i starten, hvor man ikke kunne nogen vigtige ting, men en ældre version.

Køre selv med 5 på min Nexus7, og hvis jeg bare får den næste version med rettelser, og finpustning, så kunne jeg lave med det til at den døde.

  • 0
  • 0
Jarnis Bertelsen

Telefonen virker jo stadig, selv om der ikke kommer opdateringer.


Det er ikke feature opdateringer/opgraderinger, der diskutteres, det er sikkerhedsopdateringer. Jeg synes det er OK at man som producent ikke giver en telefon nye features, den ikke er født med, medmindre man har lovet noget andet. Men som forbruger kan man ikke forudse, at en telefon fra den ene dag til den anden risikerer at koste en meget dyrt, hvis man benytter den.

Hvis der viser sig at være fejl på bremserne i en biltype, tilbagekaldes den straks og fejlen udbedres på producentens regning. Det er naturligvis noget andet fordi det kan risikere at koste dig livet, men risikoen ved (alvorlige) sikkerhedshuller er stor nok til at noget lignende burde indføres. Man risikerer jo både at blive flået af overtakserede sms'er og opkald og at ens privatliv inkl. bankoplysninger, kontakter og lokation bliver stjålet. Hvordan kan den risiko bare hældes over på forbrugeren?

  • 4
  • 1
Jesper Poulsen

Hvis der viser sig at være fejl på bremserne i en biltype, tilbagekaldes den straks


Hvis der er tale om en nyere bil. Biler forventes at have et længere liv end en mobiltelefon. Mobiltelefoner har et meget kort liv, sammenlignet med en bil. Iflg. Dangaard Telecom (det er mange år siden kan du nok regne ud, for det har heddet Brightpoint i en del år efterhånden) har mobiltelefoner en kortere holdbarhed end mælk.

  • 0
  • 0
Markus Hornum-Stenz

Den ene er at du som forbruger er frit stillet til at vælge at købe hvad du vil, ud fra din individuelle vurdering af pris/kvalitetsforholdet.

Den anden - som vi ofte glemmer - er at handelen er overstået, når vi har lagt pengene og fået varen. I praksis er customer care ikke noget vi gider betale for.
Det betyder at leverandørerne behandler os som de troløse og illoyale kunder vi generelt set er og opererer med kalkuleret levetid, vendor lock-in, kartelaftaler osv

Det er forskellen mellem den drøm de sælger og den reelle vare de leverer.

Vi får det vi vil betale for, i det store og hele.

Hvis Google eller Samsung ikke leverer opdateringer, er det fordi de får en bedre forretning ud af at sælge os en ny, for vi bliver åbenbart ikke sure nok over telefoner med levetid på 2 år

  • 1
  • 0
Jarnis Bertelsen

Hvis Google eller Samsung ikke leverer opdateringer, er det fordi de får en bedre forretning ud af at sælge os en ny, for vi bliver åbenbart ikke sure nok over telefoner med levetid på 2 år


Præcis det samme argument kunne du bruge mod de 2 års reklamationsret EUs forbrugerbeskyttelse giver. Så ville levetiden bare i visse tilfælde være mindre end de 2 år. Hvorfor er et alvorligt sikkerhedshul i software/operativsystem mindre kritisk end hvis fx batteriet risikerer at nedsmelte eller for den sags skyld at knapperne holder op med at fungere?

  • 2
  • 0
Log ind eller Opret konto for at kommentere