Uma revelação recente de que o Google não está mais desenvolvendo patches de segurança para o componente "WebView" do Android em Jujuba e antes, mais uma vez destacou a segurança do Android e os desafios envolvidos na proteção de um bilhão ou mais de dispositivos ativos. Revelado pela primeira vez por Metasploit em janeiro 12, a posição do Google em atualizar este componente central do Android foi amplamente divulgada nos dias seguintes.
Então, o que exatamente é WebView, e o que a posição do Google sobre as atualizações do WebView significa para os proprietários de dispositivos Android? E se você ainda usa o Jelly Bean, o que pode fazer para minimizar o risco? Faremos uma análise detalhada após o intervalo.
Comecemos pelo princípio: o que é WebView?
Visualizando uma página da web em qualquer coisa além do Chrome? Provavelmente, você está olhando para um WebView.
WebView é a parte do sistema operacional Android responsável por renderizar páginas da web em a maioria Aplicativos Android. Se você vir conteúdo da web em um aplicativo Android, provavelmente está em um WebView. A principal exceção a essa regra é o Google Chrome para Android, que em vez disso usa seu próprio mecanismo de renderização, integrado ao aplicativo. (O mesmo se aplica a alguns navegadores Android de terceiros, como o Firefox.)
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Em versões mais antigas do Android (4.3 e inferior), o WebView usa código baseado no Webkit da Apple - a mesma tecnologia por trás do navegador Safari. No Android 4.4 e acima, o WebView é baseado no Chromium, a base de código aberto do Google Chrome (que usa o mecanismo Blink do Google). No Android 5.0, WebView foi dividido como um aplicativo separado, presumivelmente para permitir atualizações oportunas por meio do Google Play sem exigir que atualizações de firmware sejam emitidas.
O que está acontecendo?
Pesquisadores de segurança de Metasploit, depois de descobrir várias falhas de segurança no componente WebView do Android 4.3 e enviá-las ao Google, publicou um e-mail de [email protected] revelando que o Google geralmente não desenvolve patches para versões pré-Android 4.4 do WebView.
Os trechos de e-mail publicados pelo veículo são:
"Se a versão afetada [do WebView] for anterior à 4.4, geralmente não desenvolvemos os patches nós mesmos, mas aceitamos os patches com o relatório para consideração. Além de notificar os OEMs, não poderemos tomar providências em relação a nenhum relatório que esteja afetando as versões anteriores à 4.4 que não estejam acompanhadas de um patch. "
Por que isso é ruim?
Como Metasploit aponta, mais de 60 por cento dos dispositivos Android ativos estão atualmente executando Jujuba (Android 4.1-4.3) ou anterior, potencialmente deixando-os abertos a nojentas baseadas na web ao navegar por um WebView. Isso é particularmente preocupante para aqueles no Android 4.3 e inferior usando navegadores da web integrados de fabricantes como HTC, Samsung e LG (para citar apenas três), que usam WebViews para exibir conteúdo de a teia.
O fato de o Google não estar desenvolvendo ativamente correções para implementações mais antigas do WebView significa que cabe aos OEMs consertar essas coisas por conta própria.
Os proprietários de Android 4.0-4.3 que usam navegadores não WebView, como Chrome ou Firefox, não estarão expostos a essas vulnerabilidades ao usar o navegador de sua escolha. No entanto, eles ainda podem estar em risco se o WebView de um aplicativo de terceiros os direcionar para um site malicioso. Isso é menos provável do que encontrar malware durante a navegação normal na web, no entanto, dado que aplicativos de alto nível como o Feedly e o Facebook usam WebViews para exibir conteúdo de terceiros, está longe de impossível.
Números de versão da plataforma Android para o mês que termina em janeiro 5, 2015.
Por que faz sentido (ou: a realidade de atualizar o Android)
O verdadeiro problema não é que o Google não atualize o WebView, mas que muitos dispositivos ainda executam o Android 4.3 ou inferior.
É fácil confundir o sintoma - vulnerabilidades do WebView - com a causa raiz. O verdadeiro problema não é que o Google não atualizará o WebView do Jelly Bean, mas que tantos dispositivos ainda estão executando o Android 4.3 e inferior com pouca perspectiva de atualização, independentemente de qualquer ação do Google toma. Mesmo se o Google emitisse patches para o código WebView do Jelly Bean (e Ice Cream Sandwich's e Gingerbread's), os usuários ainda estaria esperando os OEMs (e operadoras) para enviar atualizações de firmware, assim como estão esperando no Android 4.4 hoje. E se os fabricantes desses dispositivos estivessem inclinados a lançar atualizações, é provável que não ficassem presos no Android 4.3 ou anterior.
O Google corrigiu o problema do webview do Jelly Bean há mais de um ano. O patch é chamado Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14 de janeiro de 2015
Do ponto de vista do Google, a solução para esse problema foi lançada há mais de um ano, com a chegada de Android 4.4 KitKat. Em um mundo ideal, esse seria o patch que os OEMs aplicaram em seus telefones Jelly Bean e, como resultado, ninguém estaria executando o Android 4.3 ou inferior mais de um ano depois 4.4 tornou-se disponível. Infelizmente, apesar dos esforços em várias frentes, As atualizações do Android continuam sendo uma espécie de jogo de dados.
Mas há uma fresta de esperança - o Google está tomando medidas para garantir que o WebView seja mais fácil de corrigir no Android 5.0 e além.
E agora?
Como o Google não desenvolverá patches para o WebView do Jelly Bean, cabe aos OEMs desenvolver e implantar suas próprias correções nos telefones e tablets afetados. Dado que esses dispositivos já estão executando uma versão bastante antiga do sistema operacional, não estamos prendendo a respiração para que os fabricantes e operadoras implantem algo em tempo hábil. E para ser claro, esse provavelmente seria o caso, independentemente de o Google desenvolver seus próprios patches Jelly Bean WebView ou não.
O Google já tomou medidas para garantir que o WebView possa se manter atualizado no Lollipop.
Se você estiver executando o Android 4.3 ou inferior, recomendamos mudar para um navegador que não use WebView, como Google Chrome ou Mozilla Firefox. Quanto à proteção de outros aplicativos que usam WebViews, é sempre uma boa ideia instalar apenas os aplicativos em que você confia e tomar os cuidados básicos ao navegar na web. O Facebook, por exemplo, permite que você desative seu navegador embutido e abra links da web no navegador de sua escolha.
Como uma parte do sistema operacional Android voltada para a web que é difícil de atualizar, o WebView é um alvo óbvio para quem deseja para encontrar exploits do Android que afetam um grande número de pessoas e que não podem ser imediatamente anulados por um aplicativo atualizar. É certamente por isso que o Google tornou possível atualizar o WebView independentemente do sistema operacional em Android 5.0 e além. Se vulnerabilidades semelhantes fossem descobertas no WebView do Lollipop, o Google simplesmente enviaria uma atualização por meio da Play Store e resolveria o problema. No entanto, devido à natureza do Android, vai demorar para que o Lollipop se torne tão difundido quanto o Jelly Bean. E isso significa que pode levar anos até que a maioria dos usuários do Android se beneficie da nova implementação modular do WebView.
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um ótimo som, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Proteja sua casa com essas campainhas e fechaduras SmartThings.
Uma das melhores coisas sobre o SmartThings é que você pode usar uma série de outros dispositivos de terceiros em seu sistema, incluindo campainhas e fechaduras. Como todos eles basicamente compartilham o mesmo suporte SmartThings, nos concentramos em quais dispositivos têm as melhores especificações e truques para justificar adicioná-los ao seu arsenal SmartThings.