Una revelación reciente de que Google ya no está desarrollando parches de seguridad para el componente "WebView" de Android en Frijol de jalea y anteriormente ha vuelto a poner de relieve la seguridad de Android y los desafíos que implica proteger los mil millones de dispositivos activos. Primero revelado por Metasploit el ene. El 12 de diciembre, la postura de Google sobre la actualización de este componente central de Android se ha informado ampliamente en los días siguientes.
Entonces, ¿qué es exactamente WebView y qué significa la postura de Google sobre las actualizaciones de WebView para los propietarios de dispositivos Android? Y si todavía utiliza Jelly Bean, ¿qué puede hacer para minimizar el riesgo? Echaremos un vistazo detallado después del descanso.
Lo primero es lo primero: ¿Qué es WebView?
¿Está viendo una página web en cualquier cosa que no sea Chrome? Lo más probable es que esté viendo un WebView.
WebView es la parte del sistema operativo Android responsable de representar páginas web en
más Aplicaciones de Android. Si ve contenido web en una aplicación de Android, es probable que esté viendo WebView. La principal excepción a esta regla es Google Chrome para Android, que en su lugar utiliza su propio motor de renderizado, integrado en la aplicación. (Lo mismo ocurre con algunos navegadores de Android de terceros como Firefox).Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
En versiones anteriores de Android (4.3 y anteriores), WebView usa código basado en Webkit de Apple, la misma tecnología detrás del navegador Safari. En Android 4.4 y superior, WebView se basa en Chromium, la base de código abierto de Google Chrome (que utiliza el motor Blink de Google). En Android 5.0, WebView se dividió como una aplicación separada, presumiblemente para permitir actualizaciones oportunas a través de Google Play sin requerir la emisión de actualizaciones de firmware.
¿Que esta pasando?
Investigadores de seguridad de Metasploit, después de descubrir varias vulnerabilidades de seguridad en el componente WebView de Android 4.3 y enviarlas a Google, han publicado un correo electrónico de [email protected] revelando que Google generalmente no desarrolla parches para versiones anteriores a Android 4.4 de WebView.
Los extractos de correo electrónico publicados por el medio dicen:
"Si la versión afectada [de WebView] es anterior a la 4.4, generalmente no desarrollamos los parches nosotros mismos, pero damos la bienvenida a los parches con el informe para su consideración. Aparte de notificar a los OEM, no podremos tomar medidas sobre ningún informe que afecte a versiones anteriores a la 4.4 que no estén acompañadas de un parche ".
¿Porque es malo?
Como Metasploit señala, más del 60 por ciento de los dispositivos Android activos se ejecutan actualmente Frijol de jalea (Android 4.1-4.3) o anterior, lo que podría dejarlos abiertos a desagradables basados en la web al navegar a través de WebView. Esto es particularmente preocupante para aquellos con Android 4.3 y versiones anteriores que utilizan navegadores web integrados de fabricantes como HTC, Samsung y LG (por nombrar solo tres), que utilizan WebViews para mostrar contenido de La web.
El hecho de que Google no esté desarrollando activamente correcciones para las implementaciones de WebView más antiguas significa que los fabricantes de equipos originales deben parchear estas cosas por su cuenta.
Los propietarios de Android 4.0-4.3 que utilicen navegadores que no sean WebView como Chrome o Firefox no estarán expuestos a estas vulnerabilidades cuando utilicen el navegador web de su elección. Sin embargo, aún podrían estar en riesgo si WebView de una aplicación de terceros los dirige a un sitio malicioso. Esto es menos probable que encontrarse con malware en el transcurso de una navegación web regular, sin embargo, dado que aplicaciones de alto perfil como Feedly y Facebook usan WebViews para mostrar contenido de terceros, está lejos de ser imposible.
Números de versión de la plataforma Android para el mes que finaliza en enero. 5, 2015.
Por qué tiene sentido (o: la realidad de actualizar Android)
El problema real no es que Google no actualice WebView, sino que muchos dispositivos todavía ejecutan Android 4.3 y versiones anteriores.
Es fácil confundir el síntoma (vulnerabilidades de WebView) con la causa raíz. El problema real no es que Google no actualice WebView de Jelly Bean, sino que muchos dispositivos todavía ejecutando Android 4.3 y versiones anteriores con pocas perspectivas de actualización, independientemente de la acción que Google pueda realizar tomar. Incluso si Google emitiera parches para el código WebView de Jelly Bean (y para Ice Cream Sandwich y Gingerbread), los usuarios seguiría esperando que los fabricantes de equipos originales (y operadores) envíen actualizaciones de firmware, justo cuando esperan en Android 4.4 hoy. Y si los fabricantes de estos dispositivos estuvieran dispuestos a lanzar actualizaciones, es probable que no se queden atascados en Android 4.3 o anterior para empezar.
Google solucionó el problema de la vista web de Jelly Bean hace más de un año. El parche se llama Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14 de enero de 2015
Desde la perspectiva de Google, la solución para este problema se lanzó hace más de un año con la llegada de Android 4.4 KitKat. En un mundo ideal, ese sería el parche que los OEM aplicaron a sus teléfonos Jelly Bean y, como resultado, nadie estaría ejecutando Android 4.3 o inferior más de un año después. 4.4 estuvo disponible. Desafortunadamente, a pesar de los esfuerzos en múltiples frentes, Las actualizaciones de Android siguen siendo una especie de juego de azar.
Pero hay un lado positivo: Google está tomando medidas para garantizar que WebView sea más fácil de parchear en Android 5.0 y posteriores.
¿Ahora que?
Debido a que Google no desarrollará parches para WebView de Jelly Bean, depende de los fabricantes de equipos originales desarrollar e implementar sus propias correcciones en los teléfonos y tabletas afectados. Dado que estos dispositivos ya ejecutan una versión bastante antigua del sistema operativo, no estamos conteniendo la respiración para que los fabricantes y operadores implementen algo de manera oportuna. Y para ser claros, ese probablemente sería el caso independientemente de si Google desarrolló sus propios parches Jelly Bean WebView o no.
Google ya ha tomado medidas para asegurarse de que WebView pueda mantenerse actualizado en Lollipop.
Si está ejecutando Android 4.3 o inferior, le recomendamos que cambie a un navegador que no utilice WebView, como Google Chrome o Mozilla Firefox. En cuanto a protegerse en otras aplicaciones que usan WebViews, siempre es una buena idea instalar solo aplicaciones en las que confíe y tomar precauciones básicas al navegar por la web. Facebook, por ejemplo, te permite desactivar su navegador integrado y abrir enlaces web en el navegador que elijas.
Como parte web del sistema operativo Android que es difícil de actualizar, WebView es un objetivo obvio para cualquiera que desee para encontrar exploits de Android que afectan a un gran número de personas y que una aplicación no puede anular de inmediato actualizar. Seguramente es por eso que Google ha hecho posible actualizar WebView independientemente del sistema operativo en Android 5.0 y más allá. Si se descubrieran vulnerabilidades similares en WebView de Lollipop, Google simplemente enviaría una actualización a través de Play Store y terminaría con ella. Sin embargo, debido a la naturaleza de Android, Lollipop tardará un tiempo en llegar a ser tan extendido como Jelly Bean. Y eso significa que podrían pasar años antes de que la mayoría de los usuarios de Android se beneficien de la nueva implementación modular de WebView.
¿Has escuchado el podcast central de Android de esta semana?
Cada semana, el Android Central Podcast le ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está trabajando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas hasta por tres años.
Asegure su hogar con estos timbres y cerraduras SmartThings.
Una de las mejores cosas de SmartThings es que puede utilizar una gran cantidad de otros dispositivos de terceros en su sistema, incluidos timbres y cerraduras. Dado que todos comparten esencialmente el mismo soporte de SmartThings, nos hemos centrado en qué dispositivos tienen las mejores especificaciones y trucos para justificar su adición a su arsenal de SmartThings.