Eine aktuelle Entdeckung, dass Google keine Sicherheitspatches mehr für die "WebView" -Komponente von Android in entwickelt Geleebohne und früher hat die Android-Sicherheit und die Herausforderungen bei der Sicherung der rund eine Milliarde aktiven Geräte erneut in den Mittelpunkt gerückt. Zuerst enthüllt von Metasploit am Jan. 12, Googles Haltung zur Aktualisierung dieser zentralen Android-Komponente wurde in den folgenden Tagen ausführlich berichtet.
Was genau ist WebView und was bedeutet die Haltung von Google zu WebView-Updates für Besitzer von Android-Geräten? Und wenn Sie immer noch Jelly Bean verwenden, was können Sie tun, um das Risiko zu minimieren? Wir werden uns nach der Pause genauer umsehen.
Das Wichtigste zuerst: Was ist WebView?
Anzeigen einer Webseite in etwas anderem als Chrome? Möglicherweise sehen Sie sich eine WebView an.
WebView ist der Teil des Android-Betriebssystems, in dem Webseiten gerendert werden die meisten Android Apps. Wenn Sie Webinhalte in einer Android-App sehen, sehen Sie sich wahrscheinlich eine WebView an. Die Hauptausnahme von dieser Regel ist Google Chrome für Android, das stattdessen eine eigene Rendering-Engine verwendet, die in die App integriert ist. (Gleiches gilt für einige Android-Browser von Drittanbietern wie Firefox.)
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
In älteren Android-Versionen (4.3 und niedriger) verwendet WebView Code, der auf Apples Webkit basiert - der gleichen Technologie wie der Safari-Browser. Im Android 4.4 Darüber hinaus basiert WebView auf Chromium, der Open-Source-Basis von Google Chrome (die die Blink-Engine von Google verwendet). Im Android 5.0WebView wurde als separate App aufgeteilt, vermutlich um zeitnahe Updates über Google Play zu ermöglichen, ohne dass Firmware-Updates veröffentlicht werden müssen.
Was ist los?
Sicherheitsforscher aus MetasploitNachdem Sie mehrere Sicherheits-Exploits in der WebView-Komponente von Android 4.3 entdeckt und an Google gesendet haben, haben Sie eine E-Mail von veröffentlicht [email protected] Dies zeigt, dass Google im Allgemeinen keine Patches für WebView-Versionen vor Android 4.4 entwickelt.
Die von der Verkaufsstelle veröffentlichten E-Mail-Auszüge lauten:
"Wenn die betroffene Version [von WebView] vor 4.4 liegt, entwickeln wir die Patches im Allgemeinen nicht selbst, sondern begrüßen Patches mit dem Bericht zur Prüfung. Abgesehen von der Benachrichtigung von OEMs können wir keine Maßnahmen für Berichte ergreifen, die Versionen vor 4.4 betreffen, denen kein Patch beigefügt ist. "
Warum ist es schlecht?
Wie Metasploit weist darauf hin, dass derzeit mehr als 60 Prozent der aktiven Android-Geräte ausgeführt werden Geleebohne (Android 4.1-4.3) oder früher, sodass sie beim Surfen in einer WebView möglicherweise für webbasierte Probleme offen bleiben. Dies ist besonders besorgniserregend für Benutzer unter Android 4.3 und niedriger, die integrierte Webbrowser von verwenden Hersteller wie HTC, Samsung und LG (um nur drei zu nennen), die WebViews verwenden, um Inhalte von anzuzeigen das Netz.
Die Tatsache, dass Google keine aktiven Fixes für ältere WebView-Implementierungen entwickelt, bedeutet, dass es an den OEMs liegt, diese Dinge selbst zu patchen.
Besitzer von Android 4.0-4.3, die Nicht-WebView-Browser wie Chrome oder Firefox verwenden, sind diesen Sicherheitsanfälligkeiten nicht ausgesetzt, wenn sie den Webbrowser ihrer Wahl verwenden. Sie können jedoch weiterhin gefährdet sein, wenn WebView einer Drittanbieter-App sie auf eine schädliche Website weiterleitet. Dies ist jedoch weniger wahrscheinlich als das Auftreten von Malware beim normalen Surfen im Internet Hochkarätige Apps wie Feedly und Facebook verwenden WebViews, um Inhalte von Drittanbietern anzuzeigen unmöglich.
Versionsnummern der Android-Plattform für den Monatsende Jan. 5, 2015.
Warum es irgendwie Sinn macht (oder: die Realität der Aktualisierung von Android)
Das eigentliche Problem ist nicht, dass Google WebView nicht aktualisiert, sondern dass auf so vielen Geräten immer noch Android 4.3 und niedriger ausgeführt wird.
Es ist leicht, das Symptom - WebView-Schwachstellen - mit der Grundursache zu verwechseln. Das eigentliche Problem ist nicht, dass Google Jelly Beans WebView nicht aktualisiert, sondern dass noch so viele Geräte vorhanden sind Ausführen von Android 4.3 und niedriger mit wenig Aussicht auf Aktualisierung, unabhängig von der Aktion, die Google möglicherweise ausführt nehmen. Selbst wenn Google Patches für den WebView-Code von Jelly Bean (und den von Ice Cream Sandwich und Gingerbread) herausgeben würde Ich würde immer noch darauf warten, dass OEMs (und Netzbetreiber) Firmware-Updates veröffentlichen, genau wie sie auf Android 4.4 warten heute. Und wenn die Hersteller dieser Geräte überhaupt dazu neigen würden, Updates herauszubringen, würden sie wahrscheinlich zunächst nicht auf Android 4.3 oder früher stecken bleiben.
Google hat das Problem mit der Jelly Bean-Webansicht vor über einem Jahr behoben. Der Patch heißt Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14. Januar 2015
Aus Googles Sicht wurde das Update für dieses Problem vor mehr als einem Jahr mit der Ankunft von veröffentlicht Android 4.4 KitKat. In einer idealen Welt wären dies die Patch-OEMs, die auf ihre Jelly Bean-Telefone angewendet werden, und infolgedessen würde niemand mehr als ein Jahr später Android 4.3 oder niedriger ausführen 4.4 wurde verfügbar. Leider trotz Bemühungen an mehreren Fronten, Android-Updates bleiben so etwas wie ein Crapshoot.
Aber es gibt einen Silberstreifen - Google unternimmt Schritte, um sicherzustellen, dass WebView in Android 5.0 und darüber hinaus einfacher zu patchen ist.
Was jetzt?
Da Google keine Patches für Jelly Beans WebView entwickelt, liegt es an den OEMs, ihre eigenen Fixes für betroffene Telefone und Tablets zu entwickeln und einzuführen. Da auf diesen Geräten bereits eine ziemlich alte Version des Betriebssystems ausgeführt wird, halten wir nicht den Atem an, damit Hersteller und Netzbetreiber irgendetwas rechtzeitig bereitstellen können. Und um klar zu sein, wäre dies wahrscheinlich der Fall, unabhängig davon, ob Google seine eigenen Jelly Bean WebView-Patches entwickelt hat oder nicht.
Google hat bereits Schritte unternommen, um sicherzustellen, dass WebView in Lollipop auf dem neuesten Stand bleibt.
Wenn Sie Android 4.3 oder niedriger verwenden, empfehlen wir Ihnen, zu einem Browser zu wechseln, der WebView nicht verwendet, z Google Chrome oder Mozilla Firefox. Um sich in anderen Apps zu schützen, die WebViews verwenden, ist es immer eine gute Idee, nur Apps zu installieren, denen Sie vertrauen, und beim Surfen im Internet grundlegende Vorsichtsmaßnahmen zu treffen. Mit Facebook können Sie beispielsweise den integrierten Browser deaktivieren und Weblinks in einem Browser Ihrer Wahl öffnen.
Als webbasierter Teil des Android-Betriebssystems, der schwer zu aktualisieren ist, ist WebView ein offensichtliches Ziel für alle, die dies wünschen um Android-Exploits zu finden, die eine große Anzahl von Menschen betreffen und die von einer App nicht sofort aufgehoben werden können aktualisieren. Aus diesem Grund hat Google es sicherlich möglich gemacht, WebView unabhängig vom Betriebssystem zu aktualisieren Android 5.0 und darüber hinaus. Wenn ähnliche Sicherheitslücken in Lollipops WebView entdeckt würden, würde Google einfach ein Update über den Play Store veröffentlichen und damit fertig sein. Aufgrund der Natur von Android wird es jedoch einige Zeit dauern, bis Lollipop annähernd so weit verbreitet ist wie Jelly Bean. Das bedeutet, dass es Jahre dauern kann, bis die Mehrheit der Android-Benutzer von der neuen, modularen WebView-Implementierung profitiert.
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Sichern Sie Ihr Zuhause mit diesen SmartThings Türklingeln und Schlössern.
Eines der besten Dinge an SmartThings ist, dass Sie eine Reihe anderer Geräte von Drittanbietern auf Ihrem System verwenden können, einschließlich Türklingeln und Schlössern. Da sie alle im Wesentlichen dieselbe SmartThings-Unterstützung haben, haben wir uns darauf konzentriert, welche Geräte die besten Spezifikationen und Tricks haben, um das Hinzufügen zu Ihrem SmartThings-Arsenal zu rechtfertigen.