Neseniai atskleista, kad „Google“ nebekuria „Android“ komponento „WebView“ saugos pataisų Želė pupelė ir anksčiau dar kartą atkreipė dėmesį į „Android“ saugumą ir iššūkius, susijusius su milijardo aktyvių įrenginių apsauga. Pirmą kartą atskleidė Metasploit sausio mėn. 12, „Google“ pozicija atnaujinant šį centrinį „Android“ komponentą buvo plačiai pranešama per kitas dienas.
Taigi, kas iš tikrųjų yra „WebView“ ir ką „Google“ požiūris į „WebView“ naujinius reiškia „Android“ įrenginių savininkams? Ir jei jūs vis dar naudojate „Jelly Bean“, ką galite padaryti, kad imituotumėte riziką? Po pertraukos mes išsamiai apžvelgsime.
Pirmiausia pirmiausia: kas yra „WebView“?
Žiūrėti tinklalapį bet kur, išskyrus „Chrome“? Tikėtina, kad žiūrite į „WebView“.
„WebView“ yra „Android“ OS dalis, atsakinga už tinklalapių atvaizdavimą dauguma „Android“ programos. Jei „Android“ programoje matote žiniatinklio turinį, greičiausiai žiūrite į „WebView“. Pagrindinė šios taisyklės išimtis yra „Android“ skirta „Google Chrome“, kuri vietoj to naudoja savo atvaizdavimo variklį, įmontuotą programoje. (Tas pats pasakytina apie kai kurias trečiųjų šalių „Android“ naršykles, pvz., „Firefox“.)
„Verizon“ siūlo „Pixel 4a“ tik už 10 USD / mėn naujosiose neribotose linijose
Senesnėse „Android“ versijose (4.3 ir senesnės versijos) „WebView“ naudoja kodą, pagrįstą „Apple Webkit“ - ta pati „Safari“ naršyklės technologija. Į 4.4 versijos „Android“ ir naujesnės versijos „WebView“ yra pagrįstas „Chromium“, atvirojo kodo „Google Chrome“ baze (kurioje naudojamas „Google“ „Blink“ variklis.). Į 5.0 versijos „Android“„WebView“ buvo išskirta kaip atskira programa, tikriausiai tam, kad būtų galima laiku atnaujinti per „Google Play“ nereikalaujant išleisti programinės aparatinės įrangos naujinių.
Kas vyksta?
Saugumo tyrinėtojai iš Metasploit, atradę keletą „Android 4.3“ „WebView“ komponento saugos išnaudojimų ir pateikę juos „Google“, paskelbė el. laišką iš [email protected] atskleidė, kad „Google“ paprastai nesukuria pataisymų, skirtų „WebView“ versijoms, kurios nėra ankstesnės nei „Android“.
Išleidimo vietos paskelbtos el. Pašto ištraukos buvo tokios:
"Jei paveikta [" WebView "versija yra senesnė nei 4.4 versija, pleistrai paprastai kuriami ne mes patys, bet laukiame pataisų su ataskaita. Išskyrus pranešimus apie originalius gamintojus, negalėsime imtis veiksmų dėl jokios ataskaitos, turinčios įtakos versijoms iki 4.4 versijos ir nepateiktoms su pleistru. "
Kodėl tai blogai?
Kaip Metasploit pabrėžia, kad šiuo metu veikia daugiau nei 60 procentų aktyvių „Android“ įrenginių Želė pupelė (4.1–4.3 versijos „Android“) arba ankstesnės versijos, todėl naršant per „WebView“ jie gali būti atviri internetinėms nastoms. Tai ypač kelia nerimą tiems, kurie naudojasi 4.3 ar senesnės versijos „Android“ ir naudojasi įmontuotomis žiniatinklio naršyklėmis iš gamintojai, pavyzdžiui, „HTC“, „Samsung“ ir „LG“ (jei tai tik trys), kurie naudoja „WebViews“ rodydami turinį iš internetas.
Tai, kad „Google“ neaktyviai kuria senesnių „WebView“ diegimų pataisas, reiškia, kad OEM gamintojai turi pataisyti šią medžiagą patys.
„Android 4.0–4.3“ savininkams, naudojantiems ne „WebView“ naršykles, tokias kaip „Chrome“ ar „Firefox“, nebus pažeidžiami šie pažeidžiamumai, kai jie naudojasi pasirinkta interneto naršykle. Tačiau jiems vis tiek gali kilti pavojus, jei trečiosios šalies programos „WebView“ nukreipia juos į kenkėjišką svetainę. Tai yra mažiau tikėtina nei paleisti į kenkėjiškas programas reguliariai naršant internete, tačiau atsižvelgiant į tai aukšto lygio programos, tokios kaip „Feedly“ ir „Facebook“, naudoja „WebViews“ trečiųjų šalių turiniui rodyti, tai toli gražu nėra neįmanomas.
„Android“ platformos versijų numeriai mėnesiui, kuris baigiasi sausio mėn. 5, 2015.
Kodėl tai tarsi prasminga (arba: „Android“ atnaujinimo realybė)
Tikroji problema yra ne ta, kad „Google“ neatnaujins „WebView“, bet kad tiek daug įrenginių vis dar naudoja „Android 4.3“ ir senesnes versijas.
Lengva supainioti simptomą - „WebView“ pažeidžiamumą - su pagrindine priežastimi. Tikroji problema yra ne ta, kad „Google“ neatnaujins „Jelly Bean“ „WebView“, bet kad tiek įrenginių vis dar yra veikia 4.3 ar senesnės versijos „Android“, mažai tikėtina, kad bus atnaujinta, neatsižvelgiant į „Google“ galimus veiksmus imk. Net jei „Google“ išleis „Jelly Bean“ „WebView“ kodo (ir „Ice Cream Sandwich“ bei „Gingerbread“) pleistrus, vartotojai vis tiek lauktų, kol originalios įrangos gamintojai (ir operatoriai) išstums programinės aparatinės įrangos naujinimus, lygiai taip pat, kaip ir laukia „Android 4.4“ šiandien. Ir jei šių įrenginių gamintojai apskritai būtų linkę atsisakyti atnaujinimų, tikėtina, kad jie visų pirma nebus įstrigę „Android 4.3“ ar ankstesnėse versijose.
„Google“ daugiau nei prieš metus išsprendė „Jelly Bean“ žiniatinklio peržiūros problemą. Pleistras vadinamas „Android 4.4 KitKat“.
- Alexas Dobie (@alexdobie) 2015 m. Sausio 14 d
Žvelgiant iš „Google“ perspektyvos, šios problemos sprendimas buvo išleistas daugiau nei prieš metus, kai atsirado 4.4 versijos „Android“ „KitKat“. Idealiame pasaulyje tai būtų pleistras, kurį gamintojai pritaikė savo „Jelly Bean“ telefonams, ir dėl to niekas daugiau nei po metų nepaleis 4.3 ar senesnės versijos „Android“. 4.4 tapo prieinama. Deja, nepaisant pastangų keliais frontais, „Android“ naujiniai išlieka nepakartojami.
Tačiau yra sidabrinis pamušalas - „Google“ imasi veiksmų, kad „WebView“ būtų lengviau užtaisyti „Android 5.0“ ir naujesnėse versijose.
Kas dabar?
Kadangi „Google“ nekurs „Jelly Bean“ „WebView“ pataisų, OEM gamintojai turi sukurti ir išleisti savo pataisymus paveiktuose telefonuose ir planšetiniuose kompiuteriuose. Atsižvelgiant į tai, kad šiuose įrenginiuose jau naudojama gana sena OS versija, mes nesulaikome kvapo, kad gamintojai ir vežėjai galėtų ką nors įdiegti laiku. Kad būtų aišku, greičiausiai taip būtų, neatsižvelgiant į tai, ar „Google“ sukūrė savo „Jelly Bean WebView“ pleistrus, ar ne.
„Google“ jau ėmėsi veiksmų užtikrinti, kad „WebView“ galėtų būti atnaujinta „Lollipop“.
Jei naudojate 4.3 ar senesnės versijos „Android“, rekomenduojame perjungti į naršyklę, kurioje nenaudojama „WebView“, pvz., „Google Chrome“ arba Mozilla Firefox. Kalbant apie savęs apsaugą kitose programose, naudojančiose „WebViews“, visada patartina įdiegti tik tas programas, kuriomis pasitikite, ir naršant internete imtis pagrindinių atsargumo priemonių. Pavyzdžiui, „Facebook“ leidžia išjungti integruotą naršyklę ir atidaryti žiniatinklio nuorodas pasirinktoje naršyklėje.
„WebView“ yra akivaizdi „Android“ OS dalis, kurią sunku atnaujinti, todėl „WebView“ yra akivaizdus taikinys visiems norintiems rasti „Android“ išnaudojimų, turinčių įtakos daugeliui žmonių, ir kurių programa negali iš karto panaikinti atnaujinti. Būtent todėl „Google“ leido atnaujinti „WebView“ nepriklausomai nuo OS 5.0 versijos „Android“ ir už jos ribų. Jei „Lollipop“ „WebView“ būtų aptikta panašių pažeidžiamumų, „Google“ tiesiog išstums naujinį per „Play“ parduotuvę ir bus su juo atlikta. Tačiau dėl „Android“ prigimties reikės laiko, kol „Lollipop“ taps arti tokios plačiai paplitęs kaip „Jelly Bean“. Tai reiškia, kad gali praeiti metai, kol dauguma „Android“ vartotojų turės naudos iš naujo, modulinio „WebView“ diegimo.
Ar klausėtės šios savaitės „Android Central Podcast“?
Kiekvieną savaitę „Android Central Podcast“ pateikia jums naujausias technikos naujienas, analizę ir naujienas su pažįstamais bendraautoriais ir specialiais svečiais.
- Prenumeruokite „Pocket Cast“: Garsas
- Prenumeruokite „Spotify“: Garsas
- Prenumeruokite „iTunes“: Garsas
Mes galime uždirbti komisinius už pirkinius naudodami savo nuorodas. Sužinokite daugiau.
Tai geriausios belaidės ausinės, kurias galite įsigyti už kiekvieną kainą!
Geriausios belaidės ausinės yra patogios, puikiai skamba, nekainuoja per daug ir lengvai telpa kišenėje.
Viskas, ką reikia žinoti apie PS5: išleidimo data, kaina ir dar daugiau.
„Sony“ oficialiai patvirtino, kad dirba su „PlayStation 5“. Čia yra viskas, ką iki šiol apie tai žinome.
„Nokia“ išleidžia du naujus biudžetinius „Android One“ telefonus, kurių kaina mažesnė nei 200 USD.
„Nokia 2.4“ ir „Nokia 3.4“ yra naujausi „HMD Global“ biudžetinių išmaniųjų telefonų asortimento papildymai. Kadangi jie abu yra „Android One“ įrenginiai, garantuojama, kad jie gaus du pagrindinius OS atnaujinimus ir įprastus saugos atnaujinimus iki trejų metų.
Apsaugokite savo namus šiais „SmartThings“ skambučiais ir spynomis.
Vienas geriausių „SmartThings“ dalykų yra tai, kad sistemoje galite naudoti daugybę kitų trečiųjų šalių įrenginių, įskaitant durų skambučius ir spynas. Kadangi visi jie iš esmės turi tą patį „SmartThings“ palaikymą, mes sutelkėme dėmesį į tai, kurie įrenginiai turi geriausias specifikacijas ir gudrybes, kad pateisintų jų įtraukimą į „SmartThings“ arsenalą.