Член

Разбиране на корекции за сигурност на WebView и Android

protection click fraud
Android WebView

Неотдавнашно разкритие, че Google вече не разработва корекции за сигурност за компонента "WebView" на Android в Jelly Bean и по-рано отново постави в центъра на вниманието сигурността на Android и предизвикателствата, свързани с осигуряването на около един милиард активни устройства. Първо разкрито от Метасплойт на януари 12, позицията на Google за актуализиране на този централен компонент на Android е широко докладвана през следващите дни.

И така, какво точно е WebView и какво означава позицията на Google относно актуализациите на WebView за собствениците на устройства с Android? И ако все още използвате Jelly Bean, какво можете да направите, за да минимизирате риска? Ще разгледаме подробно след почивката.

Първи неща първо: Какво е WebView?

Преглеждате уеб страница в нещо освен Chrome? Шансовете са, че разглеждате WebView.

WebView е частта от операционната система Android, отговорна за изобразяването на уеб страници в най-много Приложения за Android. Ако виждате уеб съдържание в приложение за Android, има вероятност да гледате WebView. Основното изключение от това правило е Google Chrome за Android, който вместо това използва свой собствен механизъм за рендиране, вграден в приложението. (Същото важи и за някои браузъри на Android на трети страни като Firefox.)

Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии

В по-старите версии на Android (4.3 и по-стари) WebView използва код, базиран на Webkit на Apple - същата технология зад браузъра Safari. В Android 4.4 и по-горе, WebView се основава на Chromium, базата с отворен код на Google Chrome (която използва механизма на Google Blink.). В Android 5.0, WebView беше разбит като отделно приложение, вероятно за да позволи навременни актуализации чрез Google Play, без да се изисква издаване на актуализации на фърмуера.

Какво става?

Изследователи по сигурността от Метасплойт, след като откри няколко експлоита за сигурност в компонента WebView на Android 4.3 и ги изпрати на Google, публикува имейл от [email protected] разкривайки, че Google обикновено не разработва корекции за версии на WebView преди Android 4.4.

Извадните имейли, публикувани от магазина, гласят:

"Ако засегнатата версия [на WebView] е преди 4.4, обикновено не разработваме сами корекциите, но приветстваме кръпки с доклада за разглеждане. Освен уведомяването на OEM производителите, ние няма да можем да предприемем действия по който и да е отчет, който засяга версии преди 4.4, които не са придружени от корекция. "

Статуя на Jelly Bean

Защо е лошо?

Като Метасплойт посочва, че в момента работят над 60 процента от активните устройства с Android Jelly Bean (Android 4.1-4.3) или по-рано, като потенциално ги оставя отворени за уеб базирани гадости, когато сърфират през WebView. Това е особено тревожно за тези на Android 4.3 и по-стари версии, използващи вградени уеб браузъри от производители като HTC, Samsung и LG (да назовем само три), които използват WebViews за показване на съдържание от мрежата.

Фактът, че Google не разработва активно поправки за по-старите внедрения на WebView, означава, че производителите на оригинално оборудване сами трябва да поправят тези неща.

Собствениците на Android 4.0-4.3, използващи браузъри, които не са WebView, като Chrome или Firefox, няма да бъдат изложени на тези уязвимости, когато използват избрания от тях уеб браузър. Те обаче все още могат да бъдат изложени на риск, ако WebView на приложение на трета страна ги насочи към злонамерен сайт. Това е по-малко вероятно, отколкото да се сблъскате със зловреден софтуер в хода на редовното сърфиране в мрежата, но предвид това високопрофилни приложения като Feedly и Facebook използват WebViews за показване на съдържание на трети страни, това далеч не е така невъзможен.

Номера на платформата за Android за месеца, приключващ на 5 януари 2015 г.

Номера на версията на платформата за Android за месеца, приключващ на януари 5, 2015.

Защо има някакъв смисъл (или: реалността на актуализирането на Android)

Истинският проблем не е, че Google няма да актуализира WebView, а че толкова много устройства все още работят с Android 4.3 и по-стари версии.

Лесно е да объркате симптома - уязвимости на WebView - с основната причина. Истинският проблем не е в това, че Google няма да актуализира WebView на Jelly Bean, а че все още има толкова много устройства работещ с Android 4.3 и по-стари версии с малка перспектива да бъде актуализиран, независимо от действието на Google предприеме. Дори ако Google трябваше да издава корекции за кода WebView на Jelly Bean (и Ice Cream Sandwich, и Gingerbread), потребителите все още ще чака OEM (и оператори) да изтласкат актуализации на фърмуера, точно както те чакат на Android 4.4 днес. И ако производителите на тези устройства изобщо са били склонни да изтласкват актуализации, шансовете са, че те не биха останали на Android 4.3 или по-рано, за да започнат.

Google поправи проблема с уеб изгледа Jelly Bean преди повече от година. Пластирът се нарича Android 4.4 KitKat.

- Алекс Доби (@alexdobie) 14 януари 2015 г.

От гледна точка на Google, корекцията за този проблем беше пусната преди повече от година с пристигането на Android 4.4 KitKat. В идеалния свят това биха били OEM производителите на корекции, прилагани към техните телефони Jelly Bean и в резултат на това никой няма да работи с Android 4.3 или по-малко повече от година след това 4.4 стана достъпна. За съжаление, въпреки усилията на множество фронтове, Актуализациите на Android остават нещо като измама.

Но има сребърна подплата - Google предприема стъпки, за да гарантира, че WebView е по-лесен за поправяне в Android 5.0 и по-нови версии.

Chrome Android

Сега какво?

Тъй като Google няма да разработва корекции към WebView на Jelly Bean, зависи от OEM производителите да разработят и въведат свои собствени корекции на засегнатите телефони и таблети. Като се има предвид, че тези устройства вече работят с доста стара версия на операционната система, ние не спираме дъха си за производителите и превозвачите да внедрят нещо своевременно. И за да бъде ясно, това вероятно ще е така, независимо дали Google е разработил свои собствени кръпки Jelly Bean WebView или не.

Google вече е предприел стъпки, за да гарантира, че WebView може да бъде в крак с Lollipop.

Ако използвате Android 4.3 или по-нова версия, препоръчваме да преминете към браузър, който не използва WebView, като например Google Chrome или Mozilla Firefox. Що се отнася до защитата в други приложения, които използват WebViews, винаги е добра идея да инсталирате само приложения, на които имате доверие, и да вземете основни предпазни мерки при сърфиране в мрежата. Facebook например ви позволява да деактивирате вградения му браузър и да отваряте уеб връзки в избрания от вас браузър.

Като част от уеб операционната система Android, която е трудно да се актуализира, WebView е очевидна цел за всеки, който иска за намиране на подвизи на Android, които засягат голям брой хора и които не могат да бъдат незабавно анулирани от приложение актуализиране. Ето защо Google направи възможно актуализирането на WebView независимо от операционната система в Android 5.0 и отвъд. Ако подобни уязвимости бъдат открити в WebView на Lollipop, Google просто ще изтласка актуализация през Play Store и ще приключи с нея. Въпреки това, поради естеството на Android, ще отнеме време Lollipop да стане почти толкова широко разпространен, колкото Jelly Bean. И това означава, че може да минат години преди повечето потребители на Android да се възползват от новото, модулно внедряване на WebView.

Слушали ли сте Android Central Podcast тази седмица?

Android Central

Всяка седмица Android Central Podcast ви предоставя най-новите технологични новини, анализи и актуални снимки, с познати съ-домакини и специални гости.

  • Абонирайте се за Pocket Casts: Аудио
  • Абонирайте се в Spotify: Аудио
  • Абонирайте се в iTunes: Аудио

Можем да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.

Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Време е да прережете кабела!

Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!

Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.

Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други
Следващото поколение

Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.

Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.

Nokia пуска два нови бюджетни телефона Android One под $ 200
Нови Нокии

Nokia пуска два нови бюджетни телефона Android One под $ 200.

Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.

Защитете дома си с тези звънци и брави SmartThings
Динг Донг - заключени врати

Защитете дома си с тези звънци и брави SmartThings.

Едно от най-добрите неща за SmartThings е, че можете да използвате множество други устройства на трети страни на вашата система, включени звънци и брави. Тъй като всички те по същество споделят една и съща поддръжка на SmartThings, ние се фокусирахме върху това кои устройства имат най-добрите спецификации и трикове, за да оправдаят добавянето им към вашия арсенал SmartThings.

instagram story viewer