Nemrégiben kiderült, hogy a Google már nem fejleszt biztonsági javításokat az Android "WebView" komponenséhez Zselés cukor és korábban ismét reflektorfénybe helyezte az Android biztonságát, és az egymilliárd aktív eszköz biztonságával járó kihívásokat. Először feltárta Metasploit Jan-on. 12, a Google álláspontja a központi Android-összetevő frissítéséről a következő napokban széles körben beszámolt róla.
Tehát mi is a WebView, és mit jelent a Google WebView frissítésekkel kapcsolatos álláspontja az Android készüléktulajdonosok számára? És ha még mindig a Jelly Bean-t futtatja, mit tehet a kockázat minimalizálása érdekében? A szünet után részletesen megnézzük.
Első dolgok: Mi a WebView?
Weboldal megtekintése a Chrome-on kívül bárhol? Valószínű, hogy egy WebView-t keres.
A WebView az Android operációs rendszer része, amely a weboldalak megjelenítéséért felelős a legtöbb Android-alkalmazások. Ha webes tartalmat lát egy Android-alkalmazásban, akkor valószínűleg WebView-t keres. A fő kivétel a szabály alól a Google Chrome for Android, amely ehelyett a saját renderelő motorját használja, amely az alkalmazásba van beépítve. (Ugyanez vonatkozik néhány harmadik féltől származó Android böngészőre, például a Firefoxra.)
A Verizon a Pixel 4a-t mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
Az Android régebbi verzióiban (4.3 és régebbi verziói) a WebView az Apple Webkit-en alapuló kódot használ - ugyanaz a technológia a Safari böngésző mögött. Ban ben Android 4.4 A WebView a Chromiumon, a Google Chrome nyílt forráskódú bázisán alapul (amely a Google Blink motorját használja). Ban ben Android 5.0, A WebView-t külön alkalmazásként bontották ki, feltehetően annak érdekében, hogy időben frissítéseket tegyen lehetővé a Google Playen, firmware-frissítések kiadása nélkül.
Mi történik?
Biztonsági kutatók Metasploit, miután felfedezett számos biztonsági kihasználást az Android 4.3 WebView összetevőjében és elküldte azokat a Google-nak, közzétett egy e-mailt a következőtől: [email protected] kiderül, hogy a Google általában nem fejleszt javításokat a WebView Android 4.4 előtti verzióihoz.
A outlet által közzétett e-mail kivonatok a következőket írták:
"Ha a [WebView] érintett verziója a 4.4 előtt van, általában nem mi magunk fejlesztjük ki a javításokat, hanem megfontolásra szívesen fogadjuk a javításokat a jelentéssel. Az OEM-ek értesítésén kívül nem tudunk intézkedni egyetlen olyan jelentésről sem, amely a 4.4 előtti verziókat érinti, és amelyekhez nincs javítás. "
Miért rossz?
Mint Metasploit rámutat, hogy az aktív androidos eszközök több mint 60 százaléka jelenleg fut Zselés cukor (Android 4.1–4.3) vagy régebbi verziók, potenciálisan nyitva hagyva őket a webalapú csúnya előtt a WebView böngészése során. Ez különösen aggasztó azok számára, akik Android 4.3 vagy régebbi verziót használnak, és amelyek beépített webböngészőket használnak olyan gyártók, mint a HTC, a Samsung és az LG (csak hármat említve), amelyek a WebViews használatával jelenítik meg a tartalmat a háló.
Az a tény, hogy a Google nem fejleszti aktívan a régebbi WebView implementációk javításait, azt jelenti, hogy az eredeti gyártók feladata, hogy ezeket a dolgokat saját maguk javítsák ki.
Azok az Android 4.0–4.3 tulajdonosok, akik nem WebView böngészőket használnak, mint például a Chrome vagy a Firefox, nem lesznek kitéve ezeknek a biztonsági réseknek, ha választott böngészőjüket használják. Ugyanakkor továbbra is veszélyben lehetnek, ha egy harmadik féltől származó alkalmazás WebView-ja rosszindulatú webhelyre irányítja őket. Ez kevésbé valószínű, mint a rendszeres webböngészés során rosszindulatú programokba ütközni, ennek ellenére az olyan nagy horderejű alkalmazások, mint a Feedly és a Facebook, a WebViews alkalmazással jelenítik meg harmadik féltől származó tartalmakat, ez messze van lehetetlen.
Android platform verziószámok a január végéig tartó hónapra 5, 2015.
Miért van értelme (vagy: az Android frissítésének valósága)
Az igazi probléma nem az, hogy a Google nem frissíti a WebView-t, hanem az, hogy ennyi eszközön továbbra is az Android 4.3 vagy régebbi verzió fut.
Könnyű összekeverni a tünetet - a WebView sebezhetőségeit - a kiváltó okkal. Az igazi probléma nem az, hogy a Google nem frissíti a Jelly Bean WebView-ját, hanem az, hogy még mindig sok eszköz van az Android 4.3-as és régebbi verzióit futtatja, kevés esély van a frissítésre, függetlenül a Google bármilyen intézkedésétől vesz. Még akkor is, ha a Google javításokat állítana ki a Jelly Bean WebView kódjához (és Ice Cream Sandwich's, valamint Gingerbread's), a felhasználók továbbra is arra várna, hogy az OEM-ek (és a szolgáltatók) kinyomtassák a firmware-frissítéseket, ugyanúgy, mint az Android 4.4-en Ma. És ha ezeknek az eszközöknek a gyártói hajlamosak lennének egyáltalán frissítéseket kiadni, akkor valószínű, hogy eleve nem ragadnának az Android 4.3 vagy régebbi verzióin.
A Google több mint egy éve megoldotta a Jelly Bean webnézeti problémáját. A javítás neve Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 2015. január 14
A Google szemszögéből nézve a probléma javítása több mint egy évvel ezelőtt jelent meg Android 4.4 KitKat. Egy ideális világban ez lenne a javítás, amelyet az OEM gyártók a Jelly Bean telefonjukra alkalmaztak, és ennek eredményeként senki sem futtatta az Android 4.3 vagy újabb verzióját több mint egy évvel később. 4.4 elérhetővé vált. Sajnos a több fronton végzett erőfeszítések ellenére Az Android-frissítések továbbra is ócska.
De van egy ezüst bélés - a Google lépéseket tesz annak biztosítására, hogy a WebView könnyebben javítható legyen az Android 5.0 és újabb rendszereken.
És most?
Mivel a Google nem fogja fejleszteni a Jelly Bean WebView javításait, az OEM gyártók feladata, hogy saját fejlesztéseiket fejlesszék ki és terjesszék az érintett telefonokra és táblagépekre. Tekintettel arra, hogy ezek az eszközök már az operációs rendszer meglehetősen régi verzióját futtatják, nem áll a lélegzetünk, hogy a gyártók és a fuvarozók bármit is időben telepítsenek. És hogy világos legyen, ez valószínűleg így is lenne, függetlenül attól, hogy a Google kifejlesztette-e a saját Jelly Bean WebView javításait vagy sem.
A Google már megtette a lépéseket annak biztosítására, hogy a WebView naprakész tudjon maradni a Lollipopban.
Ha Android 4.3 vagy régebbi rendszert futtat, javasoljuk, hogy váltson át egy olyan böngészőre, amely nem használja a WebView szolgáltatást, például Google Chrome vagy Mozilla Firefox. Ami a WebViews alkalmazást használó más alkalmazások védelmét illeti, érdemes mindig csak a megbízható alkalmazásokat telepíteni, és az interneten való böngészés során alapvető óvintézkedéseket tenni. A Facebook lehetővé teszi például a beépített böngésző letiltását, és weblinkek megnyitását a választott böngészőben.
Az Android OS nehezen frissíthető webes részeként a WebView mindenki számára nyilvánvaló célpont megtalálni az olyan Android-kiaknázásokat, amelyek sok embert érintenek, és amelyeket egy alkalmazás nem lehet azonnal semmissé tenni frissítés. A Google biztosan ezért tette lehetővé a WebView frissítését az operációs rendszertől függetlenül Android 5.0 és tovább. Ha hasonló biztonsági réseket fedeznének fel a Lollipop WebView-jában, a Google egyszerűen kitolna egy frissítést a Play Áruházon keresztül, és készen állna rá. Az Android jellegéből adódóan azonban időbe telik, amíg a Lollipop olyan közel elterjed, mint a Jelly Bean. Ez azt jelenti, hogy évekbe telhet, mire az Android-felhasználók többsége profitál az új, moduláris WebView megvalósításból.
Hallgatta már a hét Android Central Podcastját?
Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtársaival és különleges vendégeivel.
- Feliratkozás Pocket Cast-okra: Hang
- Feliratkozás a Spotify-ra: Hang
- Feliratkozás az iTunes-ra: Hang
Linkjeink segítségével jutalékot szerezhetünk a vásárlásokért. Tudj meg többet.
Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
A legjobb vezeték nélküli fülhallgató kényelmes, jól hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.
Minden, amit tudnia kell a PS5-ről: Kiadás dátuma, ára és még sok más.
A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.
A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob piacra.
A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.
Biztosítsa otthonát ezekkel a SmartThings kapucsengőkkel és zárakkal.
Az egyik legjobb dolog a SmartThings-ben, hogy számos más, harmadik féltől származó eszközt használhat a rendszerén, beleértve a csengőket és a zárakat is. Mivel mindegyikük lényegében ugyanazt a SmartThings támogatást osztja meg, arra összpontosítottunk, hogy mely eszközök rendelkezzenek a legjobb specifikációkkal és trükkökkel annak igazolására, hogy felvegyék őket a SmartThings arzenáljába.