Niedawne ujawnienie, że Google nie opracowuje już poprawek bezpieczeństwa dla składnika „WebView” systemu Android w Jelly Bean a wcześniej po raz kolejny zwróciła uwagę na bezpieczeństwo Androida i wyzwania związane z zabezpieczeniem około miliarda aktywnych urządzeń. Po raz pierwszy ujawniony przez Metasploit w dniu stycznia 12, stanowisko Google w sprawie aktualizacji tego centralnego komponentu Androida było szeroko rozpowszechniane w kolejnych dniach.
Czym dokładnie jest WebView i jakie jest stanowisko Google w sprawie aktualizacji WebView dla właścicieli urządzeń z Androidem? A jeśli nadal używasz Jelly Bean, co możesz zrobić, aby zminimalizować ryzyko? Po przerwie przyjrzymy się szczegółowo.
Po pierwsze: co to jest WebView?
Przeglądasz stronę internetową w czymś innym niż Chrome? Prawdopodobnie patrzysz na WebView.
WebView to część systemu operacyjnego Android odpowiedzialna za renderowanie stron internetowych w większość Aplikacje Android. Jeśli widzisz zawartość internetową w aplikacji na Androida, prawdopodobnie patrzysz na WebView. Głównym wyjątkiem od tej reguły jest Google Chrome na Androida, który zamiast tego wykorzystuje własny silnik renderujący wbudowany w aplikację. (To samo dotyczy niektórych przeglądarek Androida innych firm, takich jak Firefox).
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
W starszych wersjach Androida (4.3 i poniżej), WebView używa kodu opartego na Webkicie firmy Apple - tej samej technologii, co przeglądarka Safari. W Android 4.4.0 i wyżej, WebView jest oparty na Chromium, otwartej bazie przeglądarki Google Chrome (która wykorzystuje silnik Google Blink). W Android 5.0, WebView został podzielony jako osobna aplikacja, prawdopodobnie w celu umożliwienia terminowych aktualizacji za pośrednictwem Google Play bez konieczności wydawania aktualizacji oprogramowania układowego.
Co się dzieje?
Badacze bezpieczeństwa z Metasploit, po wykryciu kilku exploitów bezpieczeństwa w komponencie WebView systemu Android 4.3 i przesłaniu ich do Google, opublikowali wiadomość e-mail od [email protected] ujawniając, że Google generalnie nie tworzy poprawek dla wersji WebView wcześniejszych niż Android 4.4.
Fragmenty wiadomości e-mail opublikowane przez outlet brzmiały:
„Jeśli wersja [WebView], której dotyczy problem, jest wcześniejsza niż 4.4, generalnie nie tworzymy samodzielnie poprawek, ale mile widziane są poprawki wraz z raportem do rozważenia. Poza powiadomieniem producentów OEM nie będziemy w stanie podjąć żadnych działań w związku z żadnym zgłoszeniem dotyczącym wersji starszych niż 4.4, którym nie towarzyszy poprawka ”.
Czemu to jest złe?
Tak jak Metasploit podkreśla, że obecnie działa ponad 60 procent aktywnych urządzeń z Androidem Jelly Bean (Android 4.1-4.3) lub wcześniej, potencjalnie pozostawiając je otwarte na złośliwe oprogramowanie internetowe podczas przeglądania za pomocą WebView. Jest to szczególnie niepokojące dla osób z systemem Android 4.3 i starszym korzystających z wbudowanych przeglądarek internetowych z producenci tacy jak HTC, Samsung i LG (żeby wymienić tylko trzech), którzy używają WebViews do wyświetlania treści z sieć.
Fakt, że Google nie opracowuje aktywnie poprawek dla starszych implementacji WebView, oznacza, że do producentów OEM należy samodzielne łatanie tych rzeczy.
Właściciele Androida 4.0-4.3 korzystający z przeglądarek innych niż WebView, takich jak Chrome lub Firefox, nie będą narażeni na te luki podczas korzystania z wybranej przeglądarki internetowej. Jednak nadal mogą być zagrożeni, jeśli WebView aplikacji innej firmy skieruje ich do złośliwej witryny. Jest to jednak mniej prawdopodobne niż uruchomienie złośliwego oprogramowania podczas zwykłego przeglądania sieci, jednak biorąc pod uwagę to znane aplikacje, takie jak Feedly i Facebook, używają WebViews do wyświetlania treści stron trzecich, jest to dalekie od niemożliwy.
Numery wersji platformy Android na miesiąc kończący się w styczniu. 5, 2015.
Dlaczego to ma sens (lub: rzeczywistość aktualizacji Androida)
Prawdziwym problemem nie jest to, że Google nie zaktualizuje WebView, ale na tak wielu urządzeniach nadal działa Android 4.3 i starsze.
Łatwo jest pomylić symptom - luki w WebView - z główną przyczyną. Prawdziwym problemem nie jest to, że Google nie zaktualizuje WebView Jelly Bean, ale tak wiele urządzeń nadal jest z systemem Android 4.3 lub starszym z niewielką szansą na aktualizację, niezależnie od działań Google brać. Nawet gdyby firma Google wydała poprawki do kodu WebView Jelly Bean (oraz Ice Cream Sandwich i Gingerbread), użytkownicy nadal czekaliby na producentów OEM (i operatorów), aby wypchnąć aktualizacje oprogramowania układowego, tak jak czekają na Androida 4.4 dzisiaj. A jeśli producenci tych urządzeń byliby skłonni w ogóle wypychać aktualizacje, są szanse, że nie utknęliby na Androidzie 4.3 lub wcześniejszym.
Google naprawił problem z wyświetlaniem w Internecie Jelly Bean ponad rok temu. Łatka nosi nazwę Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14 stycznia 2015
Z punktu widzenia Google, poprawka tego problemu została wydana ponad rok temu wraz z pojawieniem się Android 4.4 KitKat. W idealnym świecie byłaby to łatka, którą producenci OEM zastosowaliby do swoich telefonów Jelly Bean, w wyniku czego nikt nie miałby Androida 4.3 lub starszego dłużej niż rok później. 4.4 stał się dostępny. Niestety pomimo wysiłków na wielu frontach Aktualizacje Androida pozostają czymś w rodzaju crapshoot.
Ale jest coś dobrego - Google podejmuje kroki w celu zapewnienia, że WebView będzie łatwiejsze do poprawienia w systemie Android 5.0 i nowszych.
Co teraz?
Ponieważ Google nie będzie opracowywać poprawek do WebView Jelly Bean, to producenci OEM muszą opracować i wdrożyć własne poprawki na telefonach i tabletach, których dotyczy problem. Biorąc pod uwagę, że na tych urządzeniach działa już dość stara wersja systemu operacyjnego, nie wstrzymujemy oddechu, aby producenci i przewoźnicy mogli wdrożyć cokolwiek w odpowiednim czasie. I żeby było jasne, prawdopodobnie tak by się stało, niezależnie od tego, czy Google opracował własne poprawki Jelly Bean WebView, czy nie.
Firma Google podjęła już kroki, aby zapewnić aktualność WebView w Lollipop.
Jeśli używasz Androida 4.3 lub starszego, zalecamy przełączenie się na przeglądarkę, która nie używa WebView, na przykład Google Chrome lub Mozilla Firefox. Jeśli chodzi o ochronę w innych aplikacjach korzystających z WebViews, zawsze dobrze jest instalować tylko te aplikacje, którym ufasz, i podejmować podstawowe środki ostrożności podczas przeglądania sieci. Na przykład Facebook umożliwia wyłączenie wbudowanej przeglądarki i otwieranie łączy internetowych w wybranej przeglądarce.
Jako część systemu operacyjnego Android, która jest dostępna w sieci, trudna do zaktualizowania, WebView jest oczywistym celem dla każdego, kto chce aby znaleźć exploity dla Androida, które mają wpływ na dużą liczbę osób i których aplikacja nie może natychmiast zlikwidować aktualizacja. Z pewnością dlatego Google umożliwił aktualizację WebView niezależnie od systemu operacyjnego w Android 5.0 i nie tylko. Gdyby podobne luki zostały wykryte w WebView Lollipopa, Google po prostu wypuściłoby aktualizację przez Sklep Play i skończyłoby z nią. Jednak ze względu na naturę Androida minie trochę czasu, zanim Lollipop stanie się tak rozpowszechniony jak Jelly Bean. A to oznacza, że mogą minąć lata, zanim większość użytkowników Androida odniesie korzyści z nowej, modułowej implementacji WebView.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie one zasadniczo korzystają z tej samej obsługi SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.