Nesen atklāts, ka Google vairs neveido drošības ielāpus Android komponentam "WebView" Želejas konfekte un agrāk atkal ir pievērsis uzmanību Android drošībai un izaicinājumiem, kas saistīti ar aptuveni viena miljarda aktīvo ierīču drošību. Pirmo reizi atklāja Metasploit janvārī. 12, nākamajās dienās tika plaši ziņots par Google nostāju par šī centrālā Android komponenta atjaunināšanu.
Tātad, kas īsti ir WebView, un ko Google attieksme pret WebView atjauninājumiem nozīmē Android ierīču īpašniekiem? Un, ja jūs joprojām izmantojat Jelly Bean, ko jūs varat darīt, lai imitētu risku? Pēc pārtraukuma mēs detalizēti apskatīsim.
Pirmās lietas vispirms: Kas ir WebView?
Vai Web lapu skatāt kaut kur, izņemot Chrome? Iespējams, ka skatāties WebView.
WebView ir tā Android OS daļa, kas ir atbildīga par tīmekļa lapu renderēšanu lielākā daļa Android lietotnes. Ja Android lietotnē redzat tīmekļa saturu, iespējams, ka skatāties WebView. Galvenais izņēmums no šī noteikuma ir Google Chrome Android ierīcēm, kura vietā tiek izmantots pats lietotnē iebūvētais renderēšanas dzinējs. (Tas pats attiecas uz dažiem trešo pušu Android pārlūkiem, piemēram, Firefox.)
Verizon piedāvā Pixel 4a tikai par 10 USD mēnesī jaunās Neierobežotās līnijās
Vecākās Android versijās (4.3 un vecākas) WebView izmanto kodu, kura pamatā ir Apple Webkit - tā pati tehnoloģija, kas atrodas pārlūkprogrammā Safari. In Android 4.4 un jaunāk, WebView pamatā ir pārlūka Google Chrome atvērtā pirmkoda bāze Chromium (kurā tiek izmantots Google Blink dzinējs.). In Android 5.0, WebView tika sadalīts kā atsevišķa lietotne, domājams, lai ļautu savlaicīgi atjaunināt, izmantojot Google Play, neprasot izsniegt programmaparatūras atjauninājumus.
Kas notiek?
Drošības pētnieki no Metasploit, pēc Android 4.3 WebView komponentā vairāku drošības izmantojumu atklāšanas un iesniegšanas Google, ir publicējuši e-pasta ziņojumu no [email protected] atklājot, ka Google parasti neizstrādā plāksterus WebView pirms Android 4.4 versijām.
Tirdzniecības vietas publicētie e-pasta fragmenti skan:
"Ja ietekmētā [WebView] versija ir vecāka par 4.4, mēs parasti paši neveidojam plāksterus, bet apsveicam plāksterus ar ziņojumu. Izņemot paziņošanu oriģināliekārtu ražotājiem, mēs nevarēsim rīkoties nevienā ziņojumā, kas ietekmē versijas pirms 4.4 un kurām nav pievienots plāksteris. "
Kāpēc tas ir slikti?
Kā Metasploit norāda, ka pašlaik darbojas vairāk nekā 60 procenti aktīvo Android ierīču Želejas konfekte (Android 4.1–4.3) vai vecākas versijas, pārlūkojot WebView, iespējams, atstājot tās atvērtas tīmekļa briesmām. Tas ir īpaši satraucoši tiem, kas izmanto operētājsistēmu Android 4.3 vai vecāku versiju, izmantojot iebūvētās tīmekļa pārlūkprogrammas no ražotāji, piemēram, HTC, Samsung un LG (nosaucot tikai trīs), kuri izmanto WebViews, lai parādītu saturu no tīmeklī.
Fakts, ka Google aktīvi neattīsta vecāku WebView ieviešanas labojumus, nozīmē, ka oriģināliekārtu ražotājiem ir jāizlabo šī informācija pašiem.
Android 4.0–4.3 īpašnieki, kuri izmanto WebView pārlūkprogrammas, piemēram, Chrome vai Firefox, netiks pakļauti šīm ievainojamībām, izmantojot savu izvēlēto tīmekļa pārlūkprogrammu. Tomēr viņi joprojām var būt pakļauti riskam, ja trešās puses lietotnes WebView novirza viņus uz ļaunprātīgu vietni. Tas ir mazāk ticams nekā parastās tīmekļa pārlūkošanas laikā nonākt pie ļaunprātīgas programmatūras, tomēr, ņemot vērā to augsta profila lietotnes, piemēram, Feedly un Facebook, izmanto WebViews, lai parādītu trešo pušu saturu, tas nebūt nav neiespējami.
Android platformas versiju numuri mēnesim, kas beidzas janvārī. 5, 2015.
Kāpēc tam ir jēga (vai: Android atjaunināšanas realitāte)
Patiesā problēma nav tā, ka Google neatjauninās WebView, bet gan tāpēc, ka tik daudz ierīču joprojām darbojas operētājsistēma Android 4.3 un jaunākas versijas.
Simptomu - WebView ievainojamības - ir viegli sajaukt ar galveno cēloni. Patiesā problēma nav tā, ka Google neatjauninās Jelly Bean WebView, bet tik daudz ierīču joprojām ir darbojas operētājsistēma Android 4.3 un vecākas versijas, un ir maz izredžu tikt atjauninātai neatkarīgi no Google veiktās darbības ņemt. Pat ja Google izsniedz Jelly Bean WebView koda (un Ice Cream Sandwich's, un Gingerbread's) ielāpus, lietotāji joprojām gaidītu, lai oriģināliekārtu ražotāji (un pārvadātāji) izstumtu programmaparatūras atjauninājumus, tāpat kā viņi gaida operētājsistēmā Android 4.4 šodien. Un, ja šo ierīču ražotāji vispār būtu gatavi izstumt atjauninājumus, visticamāk, vispirms tie nebūtu iesprūduši operētājsistēmā Android 4.3 vai agrāk.
Google vairāk nekā pirms gada novērsa Jelly Bean tīmekļa skata problēmu. Plāksteri sauc par Android 4.4 KitKat.
- Alekss Dobijs (@alexdobie) 2015. gada 14. janvāris
No Google viedokļa šīs problēmas novēršana tika izlaista vairāk nekā pirms gada, kad ieradās Android 4.4 KitKat. Ideālā pasaulē tas būtu ielāpu oriģināliekārtu ražotājs, kas tiek lietots viņu Jelly Bean tālruņos, un rezultātā neviens vairs nedarbosies ar Android 4.3 vai vecāku versiju vairāk nekā gadu pēc tam 4.4 kļuva pieejams. Diemžēl, neskatoties uz centieniem vairākās frontēs, Android atjauninājumi joprojām ir kaut kas īslaicīgs.
Bet ir sudraba odere - Google veic pasākumus, lai nodrošinātu, ka WebView ir vieglāk ielāpēt operētājsistēmā Android 5.0 un jaunākās versijās.
Ko tagad?
Tā kā Google neizstrādās Jelly Bean WebView ielāpus, oriģinālo ražotāju ziņā ir izstrādāt un ieviest savus labojumus ietekmētajos tālruņos un planšetdatoros. Ņemot vērā to, ka šajās ierīcēs jau darbojas diezgan veca OS versija, mēs neaizkavējam elpu, lai ražotāji un pārvadātāji kaut ko varētu izvietot savlaicīgi. Un, lai būtu skaidrs, tas, visticamāk, būtu tas gadījums neatkarīgi no tā, vai Google izstrādāja savus Jelly Bean WebView ielāpus vai nē.
Google jau ir veicis pasākumus, lai pārliecinātos, ka WebView var būt atjaunināts Lollipop.
Ja izmantojat operētājsistēmu Android 4.3 vai vecāku versiju, ieteicams pārslēgties uz pārlūkprogrammu, kas neizmanto WebView, piemēram, Google Chrome vai Mozilla Firefox. Kas attiecas uz sevi aizsargāšanu citās lietotnēs, kas izmanto WebViews, vienmēr ieteicams instalēt tikai uzticamas lietotnes un ievērot pamata piesardzības pasākumus, pārlūkojot tīmekli. Piemēram, Facebook ļauj atspējot iebūvēto pārlūku un atvērt tīmekļa saites izvēlētajā pārlūkprogrammā.
Kā WebView daļa, kas vērsta uz Android OS un kuru ir grūti atjaunināt, WebView ir acīmredzams mērķis ikvienam, kurš to vēlas atrast Android izmantojumus, kas ietekmē lielu skaitu cilvēku un kurus lietotne nevar nekavējoties atcelt Atjaunināt. Tas noteikti ir iemesls, kāpēc Google ir ļāvis atjaunināt WebView neatkarīgi no OS operētājsistēmas Android 5.0 un tālāk. Ja līdzīgas ievainojamības tiktu atklātas Lollipop WebView, Google vienkārši izstumtu atjauninājumu, izmantojot Play veikalu, un ar to tiktu galā. Tomēr Android rakstura dēļ būs vajadzīgs laiks, līdz Lollipop kļūs tikpat tuvu kā Jelly Bean. Tas nozīmē, ka var paiet gadi, pirms lielākā daļa Android lietotāju gūs labumu no jaunās, modulārās WebView ieviešanas.
Vai esat klausījies šīs nedēļas Android Central Podcast?
Katru nedēļu Android Central Podcast sniedz jums jaunākos tehnoloģiju jaunumus, analīzi un jaunākās ziņas ar pazīstamiem līdzzinātājiem un īpašajiem viesiem.
- Abonējiet Pocket Casts: Audio
- Abonēt Spotify: Audio
- Abonējiet iTunes: Audio
Mēs varam nopelnīt komisiju par pirkumiem, izmantojot mūsu saites. Uzzināt vairāk.
Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!
Vislabākie bezvadu austiņu korpusi ir ērti, izklausās lieliski, neizmaksā pārāk daudz un viegli ietilpst kabatā.
Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk.
Sony ir oficiāli apstiprinājis, ka strādā pie PlayStation 5. Šeit ir viss, ko mēs par to zinām līdz šim.
Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD.
Nokia 2.4 un Nokia 3.4 ir jaunākie papildinājumi HMD Global budžeta viedtālruņu klāstā. Tā kā tās abas ir Android One ierīces, tiek garantēts, ka tās saņems divus galvenos OS atjauninājumus un regulārus drošības atjauninājumus līdz trim gadiem.
Nodrošiniet savu māju ar šiem SmartThings durvju zvaniem un slēdzenēm.
Viena no labākajām lietām SmartThings ir tā, ka savā sistēmā varat izmantot virkni citu trešo pušu ierīču, iekļaujot durvju zvani un slēdzenes. Tā kā viņiem visiem būtībā ir vienāds SmartThings atbalsts, mēs esam koncentrējušies uz to, kurām ierīcēm ir vislabākās specifikācijas un triki, lai attaisnotu to pievienošanu jūsu SmartThings arsenālam.