WebView और Android सुरक्षा पैच को समझना

हाल ही में एक रहस्योद्घाटन कि Google अब Android के "WebView" घटक के लिए सुरक्षा पैच विकसित नहीं कर रहा है जेली बीन और पहले एक बार फिर से एंड्रॉइड सुरक्षा, और एक अरब या इतने सक्रिय उपकरणों को हासिल करने के साथ जुड़ी चुनौतियों पर एक रोशनी डाल दी है। पहले पता चला Metasploit जनवरी को 12, इस केंद्रीय एंड्रॉइड घटक को अपडेट करने पर Google का रुख निम्नलिखित दिनों में व्यापक रूप से बताया गया है।

तो क्या वास्तव में WebView है, और Google के अपडेट पर WebView अपडेट का Android डिवाइस मालिकों के लिए क्या मतलब है? और अगर आप अभी भी जेली बीन चला रहे हैं, तो आप जोखिम को कम करने के लिए क्या कर सकते हैं? हम विराम के बाद एक विस्तृत जानकारी लेंगे।

Chrome के अलावा किसी वेब पेज को देखना? संभावना है कि आप एक WebView को देख रहे हैं।

WebView एंड्रॉइड ओएस का एक हिस्सा है जो वेब पेजों को प्रस्तुत करने के लिए जिम्मेदार है अधिकांश एंड्रॉयड ऍप्स। यदि आप किसी Android ऐप में वेब सामग्री देखते हैं, तो संभावना है कि आप एक WebView को देख रहे हैं। इस नियम का प्रमुख अपवाद Android के लिए Google Chrome है, जो इसके बजाय ऐप में निर्मित अपने स्वयं के रेंडरिंग इंजन का उपयोग करता है। (कुछ फ़ायरफ़ॉक्स जैसे कुछ तृतीय-पक्ष Android ब्राउज़र के लिए जाता है।)

एंड्रॉइड के पुराने संस्करणों में (4.3 और नीचे), वेबव्यू ऐप्पल के वेबकिट पर आधारित कोड का उपयोग करता है - सफारी ब्राउज़र के पीछे एक ही तकनीक। में एंड्रॉइड 4.4 और ऊपर, WebView क्रोमियम पर आधारित है, जो Google Chrome का खुला-स्रोत आधार है (जो Google के Blink इंजन का उपयोग करता है)। में एंड्रॉइड 5.0, WebView को एक अलग ऐप के रूप में तोड़ दिया गया था, संभवत: फर्मवेयर अपडेट जारी किए बिना Google Play के माध्यम से समय पर अपडेट की अनुमति देने के लिए।

क्या चल रहा है?

से सुरक्षा शोधकर्ताओं Metasploit, एंड्रॉइड 4.3 के वेबव्यू घटक में कई सुरक्षा कारनामों की खोज करने और उन्हें Google को सबमिट करने के बाद, से एक ईमेल प्रकाशित किया है [email protected] यह बताते हुए कि Google आमतौर पर WebView के पूर्व-एंड्रॉइड 4.4 संस्करणों के लिए पैच विकसित नहीं करता है।

आउटलेट द्वारा प्रकाशित ईमेल अंश:

"यदि प्रभावित संस्करण [WebView] 4.4 से पहले है, तो हम आम तौर पर पैच को स्वयं विकसित नहीं करते हैं, लेकिन विचार के साथ रिपोर्ट के साथ पैच का स्वागत करते हैं। ओईएम को सूचित करने के अलावा, हम 4.4 से पहले के संस्करणों को प्रभावित करने वाली किसी भी रिपोर्ट पर कार्रवाई नहीं कर पाएंगे।

यह बुरा क्यों है?

जैसा Metasploit बताते हैं, वर्तमान में 60 प्रतिशत से अधिक सक्रिय एंड्रॉइड डिवाइस चल रहे हैं जेली बीन (Android 4.1-4.3) या इससे पहले, संभावित रूप से वेबवेस्ट के माध्यम से ब्राउज़ करते समय उन्हें वेब-आधारित नास्टियों के लिए खुला छोड़ देता है। यह विशेष रूप से एंड्रॉइड 4.3 और नीचे से अंतर्निहित वेब ब्राउज़र का उपयोग करने वालों के लिए चिंताजनक है एचटीसी, सैमसंग और एलजी (नाम के लिए लेकिन तीन) जैसे निर्माता, जो सामग्री को प्रदर्शित करने के लिए WebViews का उपयोग करते हैं मकड़जाल।

तथ्य यह है कि Google सक्रिय रूप से पुराने WebView कार्यान्वयन के लिए फ़िक्सेस विकसित नहीं कर रहा है, इसका मतलब यह है कि यह ओईएम पर निर्भर है कि वह इस सामान को अपने दम पर पैच कर सके।

Chrome या फ़ायरफ़ॉक्स जैसे गैर- WebView ब्राउज़र का उपयोग करने वाले Android 4.0-4.3 मालिक अपनी पसंद के वेब ब्राउज़र का उपयोग करते समय इन कमजोरियों के संपर्क में नहीं आएंगे। हालाँकि, वे तब भी जोखिम में पड़ सकते हैं जब किसी तृतीय-पक्ष ऐप का WebView उन्हें दुर्भावनापूर्ण साइट पर ले जाता है। यह नियमित वेब ब्राउजिंग के दौरान मालवेयर में चलने की तुलना में कम है, हालांकि यह दिया गया है फीडली और फेसबुक जैसे हाई-प्रोफाइल ऐप, थर्ड-पार्टी कंटेंट को प्रदर्शित करने के लिए WebViews का उपयोग करते हैं, यह बहुत दूर है असंभव।

जनवरी समाप्त होने वाले महीने के लिए एंड्रॉइड प्लेटफॉर्म संस्करण संख्या। 5, 2015.

यह समझ में क्यों आता है (या: एंड्रॉइड को अपडेट करने की वास्तविकता)

असली समस्या यह नहीं है कि Google WebView को अपडेट नहीं करेगा, लेकिन इतने सारे डिवाइस अभी भी एंड्रॉइड 4.3 और नीचे चल रहे हैं।

मूल कारण के साथ - वेबव्यू कमजोरियों - लक्षण को भ्रमित करना आसान है। असली समस्या यह नहीं है कि Google जेली बीन के वेब व्यू को अपडेट नहीं करेगा, लेकिन इतने सारे उपकरण अभी भी हैं एंड्रॉइड 4.3 और नीचे चल रहे अपडेट की थोड़ी संभावना के साथ, चाहे जो भी Google हो लेना। भले ही Google को जेली बीन के WebView कोड (और आइसक्रीम सैंडविच, और जिंजरब्रेड) के लिए पैच जारी करने थे, उपयोगकर्ता अभी भी OEMs (और कैरियर) पर फर्मवेयर अपडेट को धकेलने के लिए इंतजार किया जा रहा है, जैसे वे एंड्रॉइड 4.4 पर इंतजार कर रहे हैं आज। और अगर इन उपकरणों के निर्माताओं ने अपडेट को सभी पर धकेलने की कोशिश की, तो संभावना है कि वे एंड्रॉइड 4.3 या इससे पहले शुरू करने के लिए अटक नहीं होंगे।

Google के दृष्टिकोण से, इस मुद्दे का हल एक वर्ष से भी अधिक समय पहले जारी किया गया था Android 4.4 किटकैट. एक आदर्श दुनिया में, यह पैच ओईएम उनके जेली बीन फोन पर लागू होगा, और इसके परिणामस्वरूप कोई भी एक वर्ष से अधिक Android 4.3 या उससे नीचे नहीं चलेगा 4.4 उपलब्ध हो गया। दुर्भाग्य से, कई मोर्चों पर प्रयासों के बावजूद, एंड्रॉइड अपडेट एक क्रेपशूट के कुछ बने हुए हैं.

लेकिन एक सिल्वर लाइनिंग है - Google का यह सुनिश्चित करने के लिए कदम उठाना कि WebView को एंड्रॉइड 5.0 और उससे आगे पैच करना आसान है।

अब क्या?

क्योंकि Google जेली बीन के WebView में पैच विकसित नहीं कर रहा है, यह प्रभावित फोन और टैबलेट पर अपने स्वयं के सुधारों को विकसित करने और रोल करने के लिए ओईएम पर निर्भर है। यह देखते हुए कि ये डिवाइस पहले से ही ओएस का एक काफी पुराना संस्करण चला रहे हैं, हम निर्माताओं और वाहकों के लिए हमारी सांस रोक नहीं रहे हैं कि वे समय पर कुछ भी तैनात कर सकें। और स्पष्ट होने के लिए, यह संभवत: यह मामला होगा चाहे Google ने अपना खुद का जेली बीन WebView पैच विकसित किया हो या नहीं।

Google का यह सुनिश्चित करने के लिए पहले से ही उठाया गया कदम कि WebView लॉलीपॉप में अद्यतित रह सकता है।

यदि आप Android 4.3 या उससे नीचे चला रहे हैं, तो हम ऐसे ब्राउज़र पर स्विच करने की सलाह देंगे जो WebView का उपयोग न करें, जैसे गूगल क्रोम या मोज़िला फ़ायरफ़ॉक्स. जैसा कि अन्य एप्लिकेशन जो WebViews का उपयोग करते हैं, अपने आप को सुरक्षित रखने के लिए, यह हमेशा एक अच्छा विचार है कि केवल उन ऐप्स को इंस्टॉल करें जिन पर आप भरोसा करते हैं, और वेब ब्राउज़ करते समय बुनियादी सावधानी बरतें। उदाहरण के लिए, फेसबुक आपको अपने अंतर्निहित ब्राउज़र को अक्षम करने और अपनी पसंद के ब्राउज़र में वेब लिंक खोलने की सुविधा देता है।

एंड्रॉइड ओएस के वेब-फेसिंग भाग के रूप में जिसे अपडेट करना मुश्किल है, वेबव्यू किसी भी व्यक्ति के लिए एक स्पष्ट लक्ष्य है Android कारनामों को खोजने के लिए जो बड़ी संख्या में लोगों को प्रभावित करते हैं, और जिन्हें ऐप द्वारा तुरंत बंद नहीं किया जा सकता है अपडेट करें। इसीलिए Google ने OS में स्वतंत्र रूप से WebView को अपडेट करना संभव बना दिया है एंड्रॉइड 5.0 और इसके बाद में। अगर लॉलीपॉप के वेबव्यू में इसी तरह की कमजोरियों की खोज की गई थी, तो Google प्ले स्टोर के माध्यम से एक अपडेट को हटा देगा और इसके साथ किया जाएगा। हालाँकि, एंड्रॉइड की प्रकृति के कारण, लॉलीपॉप के लिए जेली बीन के रूप में व्यापक रूप से कहीं भी पास होने में समय लगने वाला है। और इसका मतलब है कि यह नए, मॉड्यूलर वेब व्यू कार्यान्वयन से अधिकांश एंड्रॉइड उपयोगकर्ताओं को लाभ होने से सालों पहले हो सकता है।

क्या आपने इस सप्ताह के एंड्रॉइड सेंट्रल पॉडकास्ट के बारे में सुना है?

हर हफ्ते, एंड्रॉइड सेंट्रल पॉडकास्ट आपको परिचित सह-मेजबान और विशेष मेहमानों के साथ नवीनतम तकनीक समाचार, विश्लेषण और गर्म लेता है।

• पॉकेट कास्ट में सदस्यता लें: ऑडियो
• Spotify में सदस्यता लें: ऑडियो
• ITunes में सदस्यता लें: ऑडियो

यह समय गर्भनाल काटने का है!

ये सबसे अच्छे वायरलेस ईयरबड हैं जिन्हें आप हर कीमत पर खरीद सकते हैं!

सबसे अच्छा वायरलेस ईयरबड आरामदायक, शानदार ध्वनि, बहुत अधिक लागत नहीं है, और आसानी से जेब में फिट होते हैं।

अगली पीढ़ी

PS5 के बारे में आपको जो कुछ भी जानना है: रिलीज की तारीख, मूल्य, और बहुत कुछ।

सोनी ने आधिकारिक तौर पर पुष्टि की है कि यह PlayStation 5 पर काम कर रहा है। यहां हम सब कुछ जानते हैं जो इसके बारे में अब तक जानते हैं।

नया नोकिआस

नोकिया ने 200 डॉलर के तहत दो नए बजट एंड्रॉइड वन फोन लॉन्च किए।

एचएमडी ग्लोबल के बजट स्मार्टफोन लाइनअप में नोकिया 2.4 और नोकिया 3.4 नवीनतम जोड़ हैं। चूंकि वे दोनों एंड्रॉइड वन डिवाइस हैं, इसलिए उन्हें दो प्रमुख ओएस अपडेट प्राप्त करने और तीन साल तक नियमित सुरक्षा अपडेट प्राप्त करने की गारंटी है।

डिंग डोंग - दरवाजे बंद

इन SmartThings दरवाजे और ताले के साथ अपने घर को सुरक्षित करें।

SmartThings के बारे में सबसे अच्छी चीजों में से एक यह है कि आप अपने सिस्टम, डोरबेल और लॉक पर अन्य थर्ड-पार्टी डिवाइस का उपयोग कर सकते हैं। चूँकि वे सभी अनिवार्य रूप से एक ही SmartThings समर्थन साझा करते हैं, हमने उन उपकरणों पर ध्यान केंद्रित किया है, जिनमें आपके SmartThings के शस्त्रागार में जोड़ने के औचित्य के लिए सबसे अच्छा चश्मा और चालें हैं।