Een recente onthulling dat Google niet langer beveiligingspatches ontwikkelt voor de "WebView" -component van Android in Jelly Bean en eerder heeft Android-beveiliging opnieuw in de schijnwerpers gezet, en de uitdagingen die gepaard gaan met het beveiligen van de ongeveer een miljard actieve apparaten. Eerst onthuld door Metasploit op jan. 12, is het standpunt van Google over het updaten van deze centrale Android-component de volgende dagen breed uitgemeten.
Dus wat is WebView precies en wat betekent het standpunt van Google over WebView-updates voor eigenaren van Android-apparaten? En als u nog steeds Jelly Bean gebruikt, wat kunt u dan doen om het risico na te bootsen? Na de pauze zullen we uitgebreid kijken.
Eerste dingen eerst: wat is WebView?
Bekijkt u een webpagina in iets anders dan Chrome? De kans is groot dat u naar een WebView kijkt.
WebView is het deel van het Android-besturingssysteem dat verantwoordelijk is voor het weergeven van webpagina's in meest Android-apps. Als u webcontent in een Android-app ziet, is de kans groot dat u naar een WebView kijkt. De belangrijkste uitzondering op deze regel is Google Chrome voor Android, dat in plaats daarvan zijn eigen rendering-engine gebruikt, ingebouwd in de app. (Hetzelfde geldt voor sommige Android-browsers van derden, zoals Firefox.)
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
In oudere versies van Android (4.3 en lager) gebruikt WebView code gebaseerd op Apple's Webkit - dezelfde technologie achter de Safari-browser. In Android 4.4 en hoger, WebView is gebaseerd op Chromium, de open-sourcebasis van Google Chrome (die Google's Blink-engine gebruikt). In Android 5.0, Werd WebView uitgebroken als een aparte app, vermoedelijk om tijdige updates via Google Play mogelijk te maken zonder dat firmware-updates hoeven te worden uitgegeven.
Wat is er aan de hand?
Beveiligingsonderzoekers van Metasploit, na het ontdekken van verschillende beveiligingsexploitaties in de WebView-component van Android 4.3 en deze aan Google voor te leggen, hebben een e-mail gepubliceerd van [email protected] onthullend dat Google over het algemeen geen patches ontwikkelt voor pre-Android 4.4-versies van WebView.
De e-mailfragmenten die door de outlet zijn gepubliceerd, luiden:
"Als de getroffen versie [van WebView] ouder is dan 4.4, ontwikkelen we de patches over het algemeen niet zelf, maar verwelkomen we patches met het rapport ter overweging. Behalve het informeren van OEM's, kunnen we geen actie ondernemen tegen een rapport dat betrekking heeft op versies ouder dan 4.4 die niet vergezeld gaan van een patch. "
Waarom is het slecht?
Net zo Metasploit wijst erop dat momenteel meer dan 60 procent van de actieve Android-apparaten actief is Jelly Bean (Android 4.1-4.3) of eerder, waardoor ze mogelijk openstaan voor webgebaseerde nasties tijdens het browsen door een WebView. Dit is met name zorgwekkend voor degenen met Android 4.3 en lager die ingebouwde webbrowsers gebruiken fabrikanten zoals HTC, Samsung en LG (om er maar drie te noemen), die WebViews gebruiken om inhoud van weer te geven het web.
Het feit dat Google niet actief fixes ontwikkelt voor oudere WebView-implementaties, betekent dat het aan OEM's is om deze dingen zelf te patchen.
Eigenaars van Android 4.0-4.3 die niet-WebView-browsers zoals Chrome of Firefox gebruiken, worden niet blootgesteld aan deze kwetsbaarheden wanneer ze hun webbrowser naar keuze gebruiken. Ze kunnen echter nog steeds gevaar lopen als de WebView van een app van een derde hen naar een schadelijke site leidt. Dit is echter minder waarschijnlijk dan het tegenkomen van malware tijdens normaal surfen op het web, maar gezien dat spraakmakende apps zoals Feedly en Facebook gebruiken WebViews om inhoud van derden weer te geven, dat is verre van onmogelijk.
Versienummers van Android-platform voor maand eindigend op jan. 5, 2015.
Waarom het logisch is (of: de realiteit van het updaten van Android)
Het echte probleem is niet dat Google WebView niet zal updaten, maar dat op zoveel apparaten nog steeds Android 4.3 en lager draait.
Het symptoom - WebView-kwetsbaarheden - is gemakkelijk te verwarren met de hoofdoorzaak. Het echte probleem is niet dat Google de WebView van Jelly Bean niet zal updaten, maar dat er nog zoveel apparaten zijn met Android 4.3 en lager met weinig kans op updates, ongeacht welke actie Google ook doet nemen. Zelfs als Google patches zou uitgeven voor de WebView-code van Jelly Bean (en Ice Cream Sandwich's en Gingerbread's), zou nog steeds wachten op OEM's (en providers) om firmware-updates uit te brengen, net zoals ze wachten op Android 4.4 vandaag. En als de fabrikanten van deze apparaten überhaupt geneigd waren updates uit te brengen, is de kans groot dat ze om te beginnen niet zouden blijven hangen op Android 4.3 of eerder.
Google heeft het probleem met de webweergave van Jelly Bean meer dan een jaar geleden opgelost. De patch heet Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14 januari 2015
Vanuit het perspectief van Google is de oplossing voor dit probleem meer dan een jaar geleden uitgebracht met de komst van Android 4.4 KitKat. In een ideale wereld zou dat de patch zijn die OEM's toepasten op hun Jelly Bean-telefoons, en als gevolg daarvan zou niemand meer dan een jaar later Android 4.3 of lager draaien. 4.4 beschikbaar kwam. Helaas, ondanks inspanningen op meerdere fronten, Android-updates blijven een beetje een rotzooi.
Maar er is een zilveren voering: Google neemt maatregelen om ervoor te zorgen dat WebView gemakkelijker te patchen is in Android 5.0 en hoger.
Wat nu?
Omdat Google geen patches voor Jelly Bean's WebView zal ontwikkelen, is het aan OEM's om hun eigen fixes te ontwikkelen en uit te rollen op getroffen telefoons en tablets. Aangezien op deze apparaten al een vrij oude versie van het besturingssysteem wordt uitgevoerd, houden we niet onze adem in voor fabrikanten en providers om iets tijdig te implementeren. En voor alle duidelijkheid, dat zou waarschijnlijk het geval zijn, ongeacht of Google zijn eigen Jelly Bean WebView-patches heeft ontwikkeld of niet.
Google heeft al stappen ondernomen om ervoor te zorgen dat WebView up-to-date kan blijven in Lollipop.
Als u Android 4.3 of lager gebruikt, raden we u aan om over te schakelen naar een browser die geen WebView gebruikt, zoals Google Chrome of Mozilla Firefox. Om uzelf te beschermen in andere apps die WebViews gebruiken, is het altijd een goed idee om alleen apps te installeren die u vertrouwt en om elementaire voorzorgsmaatregelen te nemen tijdens het surfen op internet. Met Facebook kunt u bijvoorbeeld de ingebouwde browser uitschakelen en weblinks openen in uw browser naar keuze.
Als een webgericht onderdeel van het Android-besturingssysteem dat moeilijk te updaten is, is WebView een duidelijk doelwit voor iedereen die dat wil om Android-exploits te vinden die een groot aantal mensen treffen en die niet onmiddellijk door een app teniet kunnen worden gedaan bijwerken. Dat is zeker de reden waarom Google het mogelijk heeft gemaakt om WebView onafhankelijk van het besturingssysteem in Android 5.0 en verder. Als vergelijkbare kwetsbaarheden zouden worden ontdekt in Lollipop's WebView, zou Google eenvoudig een update via de Play Store naar buiten sturen en daarmee klaar zijn. Vanwege de aard van Android zal het echter even duren voordat Lollipop zo wijdverspreid is als Jelly Bean. En dat betekent dat het jaren kan duren voordat de meerderheid van de Android-gebruikers profiteert van de nieuwe, modulaire WebView-implementatie.
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Beveilig je huis met deze SmartThings deurbellen en sloten.
Een van de beste dingen van SmartThings is dat u een hele reeks andere apparaten van derden op uw systeem kunt gebruiken, inclusief deurbellen en sloten. Omdat ze in wezen allemaal dezelfde SmartThings-ondersteuning delen, hebben we ons gefocust op welke apparaten de beste specificaties en trucs hebben om ze toe te voegen aan je SmartThings-arsenaal.