סכנה למיליוני מכשירי אנדרואיד שבשימוש

יום ד', 11 בנובמבר 2020

האם מיליוני המשתמשים בסמארטפונים מבוססי מערכת הפעלה אנדרואיד יעמדו בעתיד הקרוב בפני שוקת שבורה? האם נגזר גורלה של המערכת בתיפקודה הנוכחי - להעלם?

בעלי מכשירים המריצים גרסאות ישנות של מערכת ההפעלה Android (אנדרואיד) מבית גוגל  עלולים להיתקל בעוד כשנה בבעיה: הדפדפנים במכשירים שלהם יסרבו לתת להם להיכנס למיליוני אתרים ברשת וייתכן אף ששירותים ואפליקציות רבים לא יעבדו יותר. הסיבה  היא אישורי האבטחה של האתרים, המסופקים על ידי ארגון בשם Let’s Encrypt.

הארגון הוקם ב-2014 על ידי מוזילה (Mozilla), סיסקו (Cisco), אקמאי (Akamai) ואוניברסיטת מישיגן, במטרה לספק לאתרי אינטרנט אישורי אבטחה ללא תשלום. אישורים כאלה דרושים היום כחלק ממהלך ארוך-שנים של גוגל, מוזילה ועוד לעודד אתרים לעבור לתקשורת מאובטחת (HTTPS) כדי להגן על המשתמשים – מהלך שמתבטא בכך שרוב הדפדפנים היום אינם מאפשרים למשתמשים להיכנס לאתר שאינו מאובטח, ומציגים אזהרה שדרושות שתי לחיצות כדי לעקוף אותה, מה שגורם לרוב המשתמשים פשוט לצאת מהאתר.

ב-2016, כאשר החל הארגון לנפק אישורים, הוא חתם על הסכם שיתוף פעולה עם רשות אבטחה ותיקה יותר שקיימת כבר משנות ה-90, כדי להסתמך על אישורי האבטחה שלה עד שכל יצרניות המחשבים, הדפדפנים ושאר התוכנות והחומרות הרלוונטיות תוספנה את פרוטוקול האבטחה של Let’s Encrypt למוצריהן.

באחרונה  הודיע הארגון כי ההסכם הזה מסתיים בסוף אוגוסט 2021, וכל מכשיר שלא עודכן מאז 2016 לא יכיר באישורים של הארגון, ולכן יחסום את הכניסה לכל האתרים המשתמשים בו מאחורי האזהרה המפחידה שהוזכרה קודם.

לפי הארגון, כל גרסאות האנדרואיד מתחת ל-Nougat 7.1.1 אינן מכירות באישורי האבטחה שלו.

לפי נתונים שפורסמו על ידי מפתחי אפליקציות בחודש אפריל 2020, נכון לאותה נקודת זמן מדובר היה ב-33.8% ממכשירי האנדרואיד הפעילים – כלומר, יותר משליש מכל המכשירים בעולם המריצים את המערכת. עם זאת, לפי נתוני StatCounter, בפועל מדובר במספרים קטנים בהרבה – כ-12% מהמכשירים בעולם, ומעט פחות מ-10% בישראל.

לגבי מספר האתרים, האישורים של Let’s Encrypt נמצאים בשימוש לפי הנתונים שלה בכ-220 מיליון אתרים, כאשר בכל יום נוספים למספר הזה כמיליון אתרים חדשים, ולפי הערכה שפורסמה בשנה שעברה מדובר באישור הנפוץ בעולם בהפרש עצום, עם נתח שוק של כמעט 30%.

משתמשים בעלי מכשירים ישנים כאלה יצטרכו  להתקין את דפדפן Firefox, שכל הגרסאות הנוכחיות שלו ל-Android תומכות באישורי האבטחה של Let’s Encrypt.