تم الكشف مؤخرًا عن أن Google لم تعد تطور تصحيحات أمان لمكون "WebView" في Android في هلام الفول وما قبله سلط الضوء مرة أخرى على أمان Android والتحديات التي ينطوي عليها تأمين مليار جهاز نشط أو نحو ذلك. كشفت لأول مرة من قبل ميتاسبلويت في يناير. 12 ، تم الإبلاغ عن موقف Google بشأن تحديث مكون Android المركزي هذا على نطاق واسع في الأيام التالية.
إذن ما هو WebView بالضبط ، وما الذي يعنيه موقف Google من تحديثات WebView لمالكي أجهزة Android؟ وإذا كنت لا تزال تدير Jelly Bean ، فما الذي يمكنك فعله لتقليل المخاطر؟ سنلقي نظرة مفصلة على الاستراحة.
أول الأشياء أولاً: ما هو WebView؟
هل تشاهد صفحة ويب في أي شيء غير Chrome؟ من المحتمل أنك تنظر إلى WebView.
WebView هو جزء من نظام التشغيل Android مسؤول عن عرض صفحات الويب بتنسيق معظم تطبيقات الأندرويد. إذا رأيت محتوى ويب في تطبيق Android ، فمن المحتمل أنك تنظر إلى WebView. الاستثناء الرئيسي لهذه القاعدة هو Google Chrome لنظام Android ، والذي يستخدم بدلاً من ذلك محرك العرض الخاص به والمدمج في التطبيق. (الأمر نفسه ينطبق على بعض متصفحات Android التابعة لجهات خارجية مثل Firefox.)
تقدم Verizon Pixel 4a مقابل 10 دولارات شهريًا فقط على خطوط جديدة غير محدودة
في الإصدارات الأقدم من Android (4.3 والإصدارات الأقدم) ، يستخدم WebView رمزًا يعتمد على Webkit من Apple - وهي نفس التقنية المستخدمة في متصفح Safari. في أندرويد 4.4 وما فوق ، يعتمد WebView على Chromium ، وهو قاعدة مفتوحة المصدر لـ Google Chrome (التي تستخدم محرك Blink من Google.). في أندرويد 5.0، تم تقسيم WebView كتطبيق منفصل ، على الأرجح للسماح بالتحديثات في الوقت المناسب من خلال Google Play دون الحاجة إلى إصدار تحديثات البرامج الثابتة.
ماذا يحدث هنا؟
باحثو الأمن من ميتاسبلويتبعد اكتشاف العديد من الثغرات الأمنية في مكون WebView لنظام Android 4.3 وإرسالها إلى Google ، تم نشر بريد إلكتروني من [email protected] كشف أن Google بشكل عام لا تطور تصحيحات لإصدارات ما قبل Android 4.4 من WebView.
نص مقتطفات البريد الإلكتروني التي نشرتها المنفذ على ما يلي:
"إذا كان الإصدار المتأثر [من WebView] قبل 4.4 ، فإننا عمومًا لا نطور التصحيحات بأنفسنا ، لكننا نرحب بالتصحيحات مع التقرير للنظر فيها. بخلاف إخطار المصنّعين الأصليين للأجهزة ، لن نتمكن من اتخاذ أي إجراء بشأن أي تقرير يؤثر على الإصدارات السابقة للإصدار 4.4 والتي لا تكون مصحوبة بتصحيح ".
لماذا هو سيء؟
مثل ميتاسبلويت يشير إلى أن أكثر من 60 بالمائة من أجهزة Android النشطة تعمل حاليًا هلام الفول (Android 4.1-4.3) أو أقدم ، مما قد يتركها مفتوحة للأشرار المستندة إلى الويب عند التصفح من خلال WebView. هذا مقلق بشكل خاص لأولئك الذين يستخدمون Android 4.3 والإصدارات الأقل الذين يستخدمون متصفحات الويب المدمجة من الشركات المصنعة مثل HTC و Samsung و LG (على سبيل المثال لا الحصر) ، والتي تستخدم WebViews لعرض المحتوى من الويب.
حقيقة أن Google لا تعمل بنشاط على تطوير إصلاحات لتطبيقات WebView القديمة تعني أن الأمر متروك لمصنعي المعدات الأصلية لإصلاح هذه الأشياء بأنفسهم.
لن يتعرض مالكو Android 4.0-4.3 الذين يستخدمون متصفحات غير WebView مثل Chrome أو Firefox لهذه الثغرات الأمنية عند استخدام متصفح الويب الذي يختارونه. ومع ذلك ، فقد يظلون عرضة للخطر إذا وجهتهم WebView لتطبيق جهة خارجية إلى موقع ضار. هذا أقل احتمالا من الوقوع في برامج ضارة أثناء تصفح الويب المنتظم ، ولكن بالنظر إلى ذلك تستخدم التطبيقات رفيعة المستوى مثل Feedly و Facebook WebViews لعرض محتوى الطرف الثالث ، فهي بعيدة كل البعد عن ذلك غير ممكن.
أرقام إصدارات نظام Android للشهر المنتهي في 31 يناير. 5, 2015.
لماذا يبدو منطقيًا نوعًا ما (أو: حقيقة تحديث Android)
لا تكمن المشكلة الحقيقية في أن Google لن تقوم بتحديث WebView ، ولكن هناك العديد من الأجهزة التي لا تزال تعمل بنظام Android 4.3 وما دونه.
من السهل الخلط بين العَرَض - ثغرات WebView - والسبب الجذري. تكمن المشكلة الحقيقية في عدم قيام Google بتحديث WebView الخاص بـ Jelly Bean ، ولكن لا يزال هناك الكثير من الأجهزة يعمل بنظام Android 4.3 والإصدارات الأقدم مع احتمال ضئيل للتحديث ، بغض النظر عن أي إجراء قد تتخذه Google يأخذ. حتى إذا كانت Google ستصدر تصحيحات لرمز Jelly Bean's WebView (و Ice Cream Sandwich و Gingerbread's) ، فإن المستخدمين سيظل ينتظرون مصنعي المعدات الأصلية (وشركات الاتصالات) لدفع تحديثات البرامج الثابتة ، تمامًا كما ينتظرون على Android 4.4 اليوم. وإذا كان مصنعو هذه الأجهزة يميلون إلى طرح التحديثات على الإطلاق ، فمن المحتمل ألا يكونوا عالقين في نظام Android 4.3 أو ما قبله.
قامت Google بإصلاح مشكلة عرض الويب Jelly Bean منذ أكثر من عام. يسمى التصحيح Android 4.4 KitKat.
- أليكس دوبي (alexdobie) 14 يناير 2015
من وجهة نظر Google ، تم إصدار الإصلاح الخاص بهذه المشكلة منذ أكثر من عام مع وصول أندرويد 4.4 كيت كات. في عالم مثالي ، سيكون هذا هو التصحيح الذي يطبقه مصنعو المعدات الأصلية على هواتفهم Jelly Bean ، ونتيجة لذلك لن يعمل أي شخص بنظام Android 4.3 أو أقل بعد أكثر من عام 4.4 اصبح متوفرا. للأسف ، على الرغم من الجهود المبذولة على جبهات متعددة ، تظل تحديثات Android شيئًا من الخداع.
ولكن هناك جانب إيجابي - تتخذ Google خطوات لضمان سهولة تصحيح WebView في نظام Android 5.0 وما بعده.
ماذا الان؟
نظرًا لأن Google لن تقوم بتطوير تصحيحات لـ WebView الخاص بـ Jelly Bean ، فإن الأمر متروك لمصنعي المعدات الأصلية لتطوير ونشر الإصلاحات الخاصة بهم على الهواتف والأجهزة اللوحية المتأثرة. نظرًا لأن هذه الأجهزة تعمل بالفعل بإصدار قديم إلى حد ما من نظام التشغيل ، فإننا لا نحبس أنفاسنا للشركات المصنعة وشركات النقل لنشر أي شيء في الوقت المناسب. ولكي نكون واضحين ، من المحتمل أن يكون هذا هو الحال بغض النظر عما إذا كانت Google قد طورت تصحيحات Jelly Bean WebView الخاصة بها أم لا.
اتخذت Google بالفعل خطوات للتأكد من أن WebView يمكن أن يظل محدثًا في Lollipop.
إذا كنت تقوم بتشغيل Android 4.3 أو إصدار أقدم ، فإننا نوصي بالتبديل إلى متصفح لا يستخدم WebView ، مثل جوجل كروم أو موزيلا فايرفوكس. بالنسبة إلى حماية نفسك في التطبيقات الأخرى التي تستخدم WebViews ، فمن الأفضل دائمًا تثبيت التطبيقات التي تثق بها فقط ، واتخاذ الاحتياطات الأساسية عند تصفح الويب. يتيح لك Facebook ، على سبيل المثال ، تعطيل المتصفح المدمج وفتح روابط الويب في المتصفح الذي تختاره.
كجزء من واجهة الويب في نظام التشغيل Android يصعب تحديثه ، يعد WebView هدفًا واضحًا لأي شخص يريد للعثور على مآثر Android التي تؤثر على عدد كبير من الأشخاص ، ولا يمكن لأحد التطبيقات إبطالها على الفور تحديث. هذا بالتأكيد هو سبب جعل Google من الممكن تحديث WebView بشكل مستقل عن نظام التشغيل في أندرويد 5.0 وما بعدها. إذا تم اكتشاف ثغرات أمنية مماثلة في WebView الخاص بـ Lollipop ، فإن Google ستدفع ببساطة تحديثًا من خلال متجر Play وستنتهي منه. ومع ذلك ، نظرًا لطبيعة نظام Android ، سيستغرق الأمر وقتًا حتى تصبح Lollipop قريبة الانتشار مثل Jelly Bean. وهذا يعني أن الأمر قد يستغرق سنوات قبل أن يستفيد غالبية مستخدمي Android من تطبيق WebView المعياري الجديد.
هل استمعت إلى Android Central Podcast لهذا الأسبوع؟
يقدم لك Android Central Podcast كل أسبوع آخر الأخبار التقنية والتحليلات والأحداث الساخنة مع مضيفين مشاركين مألوفين وضيوف مميزين.
- الاشتراك في Pocket Casts: الصوت
- اشترك في Spotify: الصوت
- اشترك في iTunes: الصوت
قد نربح عمولة على المشتريات باستخدام روابطنا. أعرف أكثر.
هذه هي أفضل سماعات أذن لاسلكية يمكنك شراؤها بكل سعر!
أفضل سماعات الأذن اللاسلكية مريحة ، وذات صوت رائع ، ولا تكلف الكثير ، ويمكن وضعها بسهولة في الجيب.
كل ما تحتاج لمعرفته حول PS5: تاريخ الإصدار والسعر والمزيد.
أكدت شركة Sony رسميًا أنها تعمل على PlayStation 5. إليك كل ما نعرفه عنها حتى الآن.
أطلقت نوكيا هاتفين جديدين بنظام Android One بسعر أقل من 200 دولار.
يعد Nokia 2.4 و Nokia 3.4 أحدث الإضافات إلى مجموعة الهواتف الذكية ذات الميزانية المحدودة من HMD Global. نظرًا لأن كلاهما يعمل بنظام Android One ، فمن المضمون تلقي تحديثين رئيسيين لنظام التشغيل وتحديثات أمنية منتظمة لمدة تصل إلى ثلاث سنوات.
قم بتأمين منزلك باستخدام أجراس وأقفال أبواب SmartThings.
أحد أفضل الأشياء في SmartThings هو أنه يمكنك استخدام عدد كبير من أجهزة الجهات الخارجية الأخرى على نظامك ، بما في ذلك أجراس الباب والأقفال. نظرًا لأنهم جميعًا يشتركون بشكل أساسي في نفس دعم SmartThings ، فقد ركزنا على الأجهزة التي تتمتع بأفضل المواصفات والحيل لتبرير إضافتها إلى ترسانة SmartThings الخاصة بك.