Pengungkapan baru-baru ini bahwa Google tidak lagi mengembangkan tambalan keamanan untuk komponen "WebView" Android di Jelly Bean dan sebelumnya sekali lagi menyoroti keamanan Android, dan tantangan yang terlibat dalam mengamankan satu miliar perangkat aktif atau lebih. Pertama kali diungkapkan oleh Metasploit pada Jan. 12, sikap Google untuk memperbarui komponen Android pusat ini telah dilaporkan secara luas di hari-hari berikutnya.
Jadi apa sebenarnya WebView itu, dan apa arti sikap Google tentang pembaruan WebView bagi pemilik perangkat Android? Dan jika Anda masih menjalankan Jelly Bean, apa yang dapat Anda lakukan untuk meminimalkan risikonya? Kami akan melihat detailnya setelah istirahat.
Hal pertama yang pertama: Apa itu WebView?
Melihat halaman web selain Chrome? Kemungkinan Anda sedang melihat WebView.
WebView adalah bagian dari OS Android yang bertanggung jawab untuk merender halaman web paling Aplikasi Android. Jika Anda melihat konten web di aplikasi Android, kemungkinan Anda sedang melihat WebView. Pengecualian utama untuk aturan ini adalah Google Chrome untuk Android, yang malah menggunakan mesin renderingnya sendiri, yang ada di dalam aplikasi. (Hal yang sama berlaku untuk beberapa browser Android pihak ketiga seperti Firefox.)
Verizon menawarkan Pixel 4a hanya dengan $ 10 / bln pada jalur Unlimited baru
Di versi Android yang lebih lama (4.3 dan di bawahnya), WebView menggunakan kode yang didasarkan pada Apple's Webkit - teknologi yang sama di belakang browser Safari. Di Android 4.4 dan di atasnya, Tampilan Web didasarkan pada Chromium, basis sumber terbuka Google Chrome (yang menggunakan mesin Google Blink.). Di Android 5.0, WebView dipecah sebagai aplikasi terpisah, mungkin untuk memungkinkan pembaruan tepat waktu melalui Google Play tanpa memerlukan pembaruan firmware untuk dikeluarkan.
Apa yang sedang terjadi?
Peneliti keamanan dari Metasploit, setelah menemukan beberapa eksploitasi keamanan di komponen WebView Android 4.3 dan mengirimkannya ke Google, telah menerbitkan email dari [email protected] mengungkapkan bahwa Google umumnya tidak mengembangkan tambalan untuk WebView versi sebelum Android 4.4.
Kutipan email yang diterbitkan oleh outlet tersebut berbunyi:
"Jika versi [WebView] yang terpengaruh adalah sebelum 4.4, kami biasanya tidak mengembangkan sendiri patch tersebut, tetapi menerima patch dengan laporan untuk dipertimbangkan. Selain memberi tahu OEM, kami tidak akan dapat mengambil tindakan pada laporan apa pun yang memengaruhi versi sebelum 4.4 yang tidak disertai dengan tambalan. "
Mengapa itu buruk?
Sebagai Metasploit menunjukkan, lebih dari 60 persen perangkat Android aktif saat ini berjalan Jelly Bean (Android 4.1-4.3) atau yang lebih lama, berpotensi membiarkannya terbuka untuk kejahatan berbasis web saat menjelajah melalui WebView. Ini sangat mengkhawatirkan bagi mereka yang menggunakan Android 4.3 dan di bawahnya yang menggunakan browser web bawaan dari produsen seperti HTC, Samsung dan LG (untuk menyebutkan tiga), yang menggunakan WebView untuk menampilkan konten Web.
Fakta bahwa Google tidak secara aktif mengembangkan perbaikan untuk implementasi WebView yang lebih lama berarti terserah kepada OEM untuk menambal barang ini sendiri.
Pemilik Android 4.0-4.3 yang menggunakan browser non-WebView seperti Chrome atau Firefox tidak akan terkena kerentanan ini saat menggunakan browser web pilihan mereka. Namun, mereka masih bisa berisiko jika WebView aplikasi pihak ketiga mengarahkan mereka ke situs berbahaya. Ini lebih kecil kemungkinannya daripada menemukan malware selama penjelajahan web biasa, namun mengingat itu aplikasi profil tinggi seperti Feedly dan Facebook menggunakan WebView untuk menampilkan konten pihak ketiga mustahil.
Nomor versi platform Android untuk bulan yang berakhir pada Januari. 5, 2015.
Mengapa ini masuk akal (atau: realitas memperbarui Android)
Masalah sebenarnya bukanlah bahwa Google tidak akan memperbarui WebView, tetapi begitu banyak perangkat yang masih menjalankan Android 4.3 ke bawah.
Sangat mudah untuk mengacaukan gejala - kerentanan WebView - dengan akar penyebabnya. Masalah sebenarnya bukanlah bahwa Google tidak akan memperbarui WebView Jelly Bean, tetapi begitu banyak perangkat yang masih ada menjalankan Android 4.3 dan di bawahnya dengan sedikit kemungkinan untuk diperbarui, terlepas dari tindakan apa pun yang mungkin dilakukan Google mengambil. Bahkan jika Google mengeluarkan tambalan untuk kode WebView Jelly Bean (dan Ice Cream Sandwich, dan Gingerbread), pengguna masih menunggu OEM (dan operator) untuk mengeluarkan pembaruan firmware, sama seperti mereka menunggu di Android 4.4 hari ini. Dan jika produsen perangkat ini cenderung mendorong pembaruan sama sekali, kemungkinan mereka tidak akan terjebak di Android 4.3 atau yang lebih lama untuk memulai.
Google memperbaiki masalah tampilan web Jelly Bean lebih dari setahun yang lalu. Tambalan tersebut disebut Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14 Januari 2015
Dari perspektif Google, perbaikan untuk masalah ini telah dirilis lebih dari setahun yang lalu dengan kedatangan Android 4.4 KitKat. Dalam dunia yang ideal, itu adalah patch OEM yang diterapkan pada ponsel Jelly Bean mereka, dan akibatnya tidak ada yang akan menjalankan Android 4.3 atau di bawahnya lebih dari setahun setelahnya. 4.4 menjadi tersedia. Sayangnya, meskipun ada upaya di berbagai bidang, Pembaruan Android tetap menjadi sesuatu yang buruk.
Tapi ada lapisan peraknya - Google mengambil langkah untuk memastikan WebView lebih mudah untuk ditambal di Android 5.0 dan lebih tinggi.
Apa sekarang?
Karena Google tidak akan mengembangkan tambalan ke WebView Jelly Bean, OEM terserah untuk mengembangkan dan meluncurkan perbaikan mereka sendiri pada ponsel dan tablet yang terpengaruh. Mengingat bahwa perangkat ini sudah menjalankan versi OS yang cukup lama, kami tidak menahan napas bagi produsen dan operator untuk menerapkan apa pun pada waktu yang tepat. Dan untuk memperjelas, itu kemungkinan akan terjadi terlepas dari apakah Google mengembangkan tambalan Jelly Bean WebView sendiri atau tidak.
Langkah-langkah Google sudah diambil untuk memastikan WebView tetap up-to-date di Lollipop.
Jika Anda menjalankan Android 4.3 atau lebih rendah, kami sarankan untuk beralih ke browser yang tidak menggunakan WebView, seperti Google Chrome atau Mozilla Firefox. Untuk melindungi diri Anda sendiri di aplikasi lain yang menggunakan WebView, sebaiknya hanya menginstal aplikasi yang Anda percayai, dan melakukan tindakan pencegahan dasar saat menjelajahi web. Facebook, misalnya, memungkinkan Anda menonaktifkan peramban bawaan dan membuka tautan web di peramban pilihan Anda.
Sebagai bagian dari OS Android yang menghadap ke web yang sulit diperbarui, WebView adalah target yang jelas bagi siapa pun yang menginginkannya untuk menemukan eksploitasi Android yang memengaruhi banyak orang, dan itu tidak dapat langsung dibatalkan oleh aplikasi memperbarui. Itulah mengapa Google memungkinkan untuk memperbarui WebView secara independen dari OS di Android 5.0 dan seterusnya. Jika kerentanan serupa ditemukan di Lollipop's WebView, Google hanya akan mengeluarkan pembaruan melalui Play Store dan menyelesaikannya. Namun, karena sifat Android, perlu waktu bagi Lollipop untuk menyebar seluas Jelly Bean. Dan itu berarti butuh waktu bertahun-tahun sebelum mayoritas pengguna Android mendapatkan manfaat dari penerapan WebView modular yang baru.
Sudahkah Anda mendengarkan Podcast Pusat Android minggu ini?
Setiap minggu, Android Central Podcast menghadirkan berita teknologi terbaru, analisis, dan cuplikan menarik, dengan co-host yang sudah dikenal dan tamu istimewa.
- Berlangganan di Pocket Casts: Audio
- Berlangganan di Spotify: Audio
- Berlangganan di iTunes: Audio
Kami dapat memperoleh komisi untuk pembelian menggunakan tautan kami. Belajarlah lagi.
Ini adalah earbud nirkabel terbaik yang dapat Anda beli dengan harga berapa pun!
Earbud nirkabel terbaik nyaman, terdengar bagus, tidak mahal, dan mudah dimasukkan ke dalam saku.
Semua yang perlu Anda ketahui tentang PS5: Tanggal rilis, harga, dan lainnya.
Sony secara resmi telah mengonfirmasi bahwa mereka sedang mengerjakan PlayStation 5. Inilah yang kami ketahui sejauh ini.
Nokia meluncurkan dua ponsel Android One anggaran baru di bawah $ 200.
Nokia 2.4 dan Nokia 3.4 adalah tambahan terbaru dalam jajaran smartphone anggaran HMD Global. Karena keduanya merupakan perangkat Android One, mereka dijamin akan menerima dua pembaruan OS utama dan pembaruan keamanan reguler hingga tiga tahun.
Amankan rumah Anda dengan bel pintu dan kunci SmartThings ini.
Salah satu hal terbaik tentang SmartThings adalah Anda dapat menggunakan banyak perangkat pihak ketiga lainnya di sistem Anda, termasuk bel pintu dan kunci. Karena mereka semua pada dasarnya berbagi dukungan SmartThings yang sama, kami telah berfokus pada perangkat mana yang memiliki spesifikasi dan trik terbaik untuk membenarkan penambahannya ke gudang SmartThings Anda.