Tuore paljastus siitä, että Google ei enää kehitä tietoturvakorjauksia Androidin "WebView" -komponentille Jelly Bean ja aikaisemmin on jälleen tuonut valokeilaan Android-tietoturvan ja noin miljardin aktiivisen laitteen suojaamiseen liittyvät haasteet. Ensimmäisen kerran paljastanut Metasploit tammikuussa 12, Googlen kantaa tämän keskeisen Android-komponentin päivittämiseen on raportoitu laajalti seuraavina päivinä.
Joten mikä on WebView tarkalleen, ja mitä Googlen kanta WebView-päivityksiin tarkoittaa Android-laitteiden omistajille? Ja jos käytät vielä Jelly Beania, mitä voit tehdä riskin jäljittelemiseksi? Katsomme yksityiskohtaisesti tauon jälkeen.
Ensimmäiset asiat ensin: Mikä on WebView?
Tarkasteletko verkkosivua muissa kuin Chromessa? Todennäköisesti etsit WebView-näkymää.
WebView on osa Android-käyttöjärjestelmää, joka vastaa verkkosivujen renderoinnista suurin osa Android-sovellukset. Jos näet verkkosisältöä Android-sovelluksessa, et todennäköisesti etsi WebView-näkymää. Suurin poikkeus tähän sääntöön on Google Chrome Androidille, joka käyttää sen sijaan omaa renderointimoottoriaan, joka on rakennettu sovellukseen. (Sama pätee joihinkin kolmansien osapuolien Android-selaimiin, kuten Firefox.)
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Androidin vanhemmissa versioissa (4.3 ja vanhemmat) WebView käyttää Applen Webkit-pohjaista koodia - samaa tekniikkaa Safari-selaimen takana. Sisään Android 4.4 ja uudempi, WebView perustuu Google Chromen avoimen lähdekoodin (joka käyttää Googlen Blink-moottoria) Chromiumiin. Sisään Android 5.0, WebView erotettiin erillisenä sovelluksena, oletettavasti mahdollistamaan nopeat päivitykset Google Playn kautta ilman, että laiteohjelmistopäivityksiä vaaditaan.
Mitä tapahtuu?
Turvallisuustutkijat Metasploit, kun Android 4.3: n WebView-komponentista on löydetty useita tietoturvahyötyjä ja lähetetty ne Googlelle, on julkaissut sähköpostin osoitteesta [email protected] paljastaa, että Google ei yleensä kehitä korjaustiedostoja WebView: n Android-versiota 4.4 edeltäville versioille.
Tehtaanmyymälän julkaisemat sähköpostin otteet lukevat:
"Jos kyseessä oleva [WebView] -versio on vanhempi kuin 4.4, emme yleensä kehitä korjaustiedostoja itse, mutta toivotamme korjaustiedostot raporttiin harkittavaksi. Sen lisäksi, että ilmoitamme alkuperäisille laitevalmistajille, emme voi toimia mihinkään raporttiin, joka vaikuttaa versioihin 4.4 ennen 4.4 ja joihin ei ole liitetty korjaustiedostoa. "
Miksi se on huono?
Kuten Metasploit huomauttaa, että yli 60 prosenttia aktiivisista Android-laitteista on tällä hetkellä käynnissä Jelly Bean (Android 4.1-4.3) tai vanhempi, mikä saattaa jättää heidät avoimiksi verkkopohjaisille kärsimyksille, kun selaat WebView-ohjelmaa. Tämä on erityisen huolestuttavaa niille, jotka käyttävät Android 4.3: a tai vanhempaa versiota ja käyttävät sisäänrakennettuja verkkoselaimia valmistajat, kuten HTC, Samsung ja LG (mainitakseni vain kolme), jotka käyttävät WebViews-sovellusta sisällön näyttämiseen verkko.
Se, että Google ei kehitä aktiivisesti vanhempien WebView-toteutusten korjauksia, tarkoittaa, että OEM-valmistajien on korjattava nämä jutut itse.
Android 4.0-4.3 -omistajat, jotka käyttävät muita kuin WebView-selaimia, kuten Chrome tai Firefox, eivät ole alttiina näille haavoittuvuuksille käyttäessään valitsemiaan verkkoselaimia. He voivat kuitenkin olla vaarassa, jos kolmannen osapuolen sovelluksen WebView ohjaa heidät haitalliselle sivustolle. Tämä on vähemmän todennäköistä kuin törmätä haittaohjelmiin säännöllisen verkkoselaamisen aikana, kuitenkin korkean profiilin sovellukset, kuten Feedly ja Facebook, käyttävät WebViews-ohjelmaa kolmannen osapuolen sisällön näyttämiseen, se on kaukana mahdotonta.
Android-alustan versionumerot tammikuussa päättyvälle kuukaudelle 5, 2015.
Miksi sillä on järkevää (tai: todellisuus päivittää Android)
Todellinen ongelma ei ole, että Google ei päivitä WebView-ohjelmaa, mutta että niin monilla laitteilla on edelleen Android 4.3 tai vanhempi.
Oire - WebView-haavoittuvuudet - on helppo sekoittaa perimmäiseen syyn. Todellinen ongelma ei ole, että Google ei päivitä Jelly Beanin WebView-näkymää, mutta että niin monet laitteet ovat edelleen Android 4.3 -käyttöjärjestelmä ja sitä vanhemmat versiot, päivittämisen mahdollisuudet ovat vähäiset riippumatta Googlen mahdollisista toimista ota. Vaikka Google julkaisi korjaustiedostoja Jelly Beanin WebView-koodille (sekä Ice Cream Sandwichin ja piparkakkujen), käyttäjät odottavat edelleen alkuperäisiltä valmistajilta (ja operaattoreilta) firmware-päivityksiä, aivan kuten he odottavat Android 4.4: ssä tänään. Ja jos näiden laitteiden valmistajat olisivat halukkaita julkaisemaan päivityksiä lainkaan, on todennäköistä, että ne eivät aluksi ole jumissa Android 4.3: ssa tai vanhemmassa.
Google korjasi Jelly Bean -näkymän ongelman yli vuosi sitten. Laastarin nimi on Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14. tammikuuta 2015
Googlen näkökulmasta tämän ongelman korjaus julkaistiin yli vuosi sitten Android 4.4 KitKat. Ihanteellisessa maailmassa tämä olisi Jelly Bean -puhelimiinsa kiinnitetty korjaustiedoston valmistaja, minkä seurauksena kukaan ei käyttäisi Android 4.3: a tai sitä vanhempaa versiota yli vuoden kuluttua 4.4 tuli saataville. Valitettavasti useilla rintamilla tehdyistä ponnisteluista huolimatta Android-päivitykset ovat edelleen räikeitä.
Mutta on hopea vuori - Google pyrkii varmistamaan, että WebView on helpompi korjata Android 5.0: ssa ja sitä uudemmissa.
Mitä nyt?
Koska Google ei kehitä korjaustiedostoja Jelly Beanin WebView-näkymään, OEM-valmistajien tehtävänä on kehittää ja ottaa käyttöön omat korjauksensa kyseisiin puhelimiin ja tabletteihin. Ottaen huomioon, että näillä laitteilla on jo melko vanha käyttöjärjestelmän versio, emme pidä hengitystä valmistajilta ja operaattoreilta, jotta ne voisivat käyttää mitään ajoissa. Ja selväksi, että näin olisi todennäköisesti riippumatta siitä, kehittikö Google omat Jelly Bean WebView -korjauksensa vai ei.
Google on jo ryhtynyt toimiin varmistaakseen, että WebView voi pysyä ajan tasalla Lollipopissa.
Jos käytössäsi on Android 4.3 tai vanhempi, suosittelemme siirtymistä selaimeen, joka ei käytä WebView-ohjelmaa, kuten Google Chrome tai Mozilla Firefox. Mitä tulee suojata itseäsi muissa WebViews-sovelluksia käyttävissä sovelluksissa, on aina hyvä asentaa vain luotettavat sovellukset ja noudattaa perusvarotoimia selatessasi verkkoa. Esimerkiksi Facebook antaa sinun poistaa käytöstä sisäänrakennettu selain ja avata verkkosivuja valitsemassasi selaimessa.
WebView on selkeä osa Android-käyttöjärjestelmää, jota on vaikea päivittää, joten se on selvä kohde kaikille haluaville löytää Android-hyväksikäyttöjä, jotka vaikuttavat suureen määrään ihmisiä ja joita sovellus ei voi välittömästi mitätöidä päivittää. Siksi Google on varmasti mahdollistanut WebView-päivityksen käyttöjärjestelmästä riippumatta Android 5.0 ja sen jälkeen. Jos Lollipopin WebView'sta löydettäisiin samanlaisia haavoittuvuuksia, Google työntää päivityksen ulos Play Kaupasta ja tekee sen. Androidin luonteen vuoksi vie kuitenkin aikaa, ennen kuin Lollipopista tulee melkein yhtä laajalle levinnyt kuin Jelly Bean. Ja se voi tarkoittaa vuosia, ennen kuin suurin osa Android-käyttäjistä hyötyy uudesta modulaarisesta WebView-toteutuksesta.
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Voimme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännöllisiä tietoturvapäivityksiä jopa kolmen vuoden ajan.
Suojaa kotisi näillä SmartThings-ovikelloilla ja lukoilla.
Yksi SmartThingsin parhaista asioista on, että voit käyttää järjestelmässäsi joukkoa muita kolmannen osapuolen laitteita, mukaan lukien ovikellot ja lukot. Koska niillä kaikilla on olennaisilta osin sama SmartThings-tuki, olemme keskittyneet siihen, millä laitteilla on parhaat tekniset tiedot ja perusteet niiden lisäämiseksi SmartThings-arsenaaliin.