“Wij kunnen niet zelf bepalen of Android-devices automatisch geüpdatet worden”, zegt Adobe tegen Webwereld. De maker van Flash reageert op de recente noodpatch voor een kritiek beveiligingslek in die software, die ook geldt voor mobiel besturingssysteem Android.

Zelf ontdekken

Flash is beschikbaar voor smartphones met Android-versie 2.2 of hoger. Er is een bètaversie beschikbaar op tablets met Android-versie 3.0.1 Honeycomb. De Flash-noodpatch van vorige week moet echter, net als gewone patches en app-updates, door gebruikers zelf worden ontdekt en dan handmatig worden geïnstalleerd.

Noch Flash, noch Android wijst de gebruiker op het feit dat er een update is, ook niet als het gaat om een dringende securitypatch. Ook Flash-content (zoals Flash-applicaties of –websites) geeft geen melding. Zodra een Android-gebruiker Google’s app store (de Android Market) bezoekt, staat er in het apps-overzicht wel een bescheiden knop ‘Bijwerken’ naast Flash, in plaats van het reguliere ‘Geïnstalleerd’.

Overgeleverd

Adobe bevestigt het benodigde handwerk. “De doelstelling is om automatische Flash Player-updates naar mobiele platformen te brengen, maar het is een complex ecosysteem en de implementatie is altijd afhankelijk van het platform, de operator en oem [toestelfabrikant – red.]”, legt Adobe uit. “Wij kunnen dus niet zelf bepalen of Android-devices automatisch geüpdatet worden.” Flash-updates zijn op Android dus overgeleverd aan achtereenvolgens Google, de telefoon- of tabletmaker, de mobiele operator en tot slot de eindgebruiker

De leverancier nuanceert: “Als er een nieuwe versie van Flash Player is, plaatsen wij de binary in de Android Market. Normaal gesproken is het automatisch updaten van de runtime afhankelijk of de gebruiker de optie selecteert voor het automatisch updaten van de binary wanneer ze Flash Player installeren vanuit de Android Market.”

Wel/niet meeleveren

De mogelijkheid van automatisch bijwerken is echter niet altijd aanwezig. “Het is, zoals eerder gezegd, afhankelijk van de regio, oem en operator of dit een optie is of niet. Sommige oem’s en operators kiezen ervoor om een update van Flash Player te leveren als onderdeel van een firmware of systeemupdate.”

Als automatisch updaten niet mogelijk is, krijgt de gebruiker slechts de knop ‘Bijwerken’ te zien. Die melding geldt voor zowel functionele updates als security-patches. Bovendien is er in de Market-omschrijving van de Flash-update van vorige week niets te lezen over de kritieke aard van die 0-day patch. Dat is een klik verder te vinden, in de release notes van Adobe zelf en dan nog halverwege dat document.

Adobe reageert: “We communiceren alle security fixes met betrekking tot Flash Player voor Android als onderdeel van de ‘Recent Changes’ omschrijving wanneer een up-tod-ate binary in de Android Market is geplaatst. Op je desktop kun je dit hier zien en uiteraard ook op je apparaat. Omdat het omschrijvingsgedeelte maar een beperkt aantal karakters aankan, plaatsen we links naar release notes en dergelijke zodat de gebruiker op de hoogte is.”

Google?

Het is niet bekend of Google plannen heeft om Flash-updates, zoals securitypatches, automatisch door te geven. Het doet dat wel met updates voor Flash in de eigen webbrowser Chrome, op Windows en Mac OS X. Ook onbekend is of het bedrijf Android-gebruikers anders dringendere meldingen wil voorschotelen als er updates zijn. Google heeft nog niet inhoudelijk gereageerd op vragen van Webwereld hierover.

Adobe wijst er nog op dat de security-dreiging voor mobiele platformen heel anders is dan voor de desktop. “We blijven met onze security-partners nauw samenwerken en het landschap goed monitoren voor mogelijke dreigingen. Uiteraard blijven we ook security-updates beschikbaar stellen wanneer dat nodig is en uit voorzorg verbeteringen aanbrengen op het gebied van security voor Flash Player voor Android en alle andere devices die Flash Player ondersteunen.”