O dezvăluire recentă că Google nu mai dezvoltă patch-uri de securitate pentru componenta „WebView” a Android din Jeleuri și mai devreme a pus din nou atenția asupra securității Android și a provocărilor pe care le implică asigurarea a aproximativ un miliard de dispozitive active. Dezvăluit pentru prima dată de Metasploit pe ianuarie 12, poziția Google cu privire la actualizarea acestei componente Android centrale a fost raportată pe scară largă în următoarele zile.
Deci, ce este exact WebView și ce înseamnă poziția Google cu privire la actualizările WebView pentru proprietarii de dispozitive Android? Și dacă rulați în continuare Jelly Bean, ce puteți face pentru a imita riscul? Vom arunca o privire detaliată după pauză.
Primele lucruri mai întâi: Ce este WebView?
Vizualizați o pagină web în altceva în afară de Chrome? Sunt șanse să vă uitați la un WebView.
WebView este partea sistemului de operare Android responsabil pentru redarea paginilor web în cel mai Aplicații Android. Dacă vedeți conținut web într-o aplicație Android, este posibil să vă uitați la un WebView. Excepția majoră de la această regulă este Google Chrome pentru Android, care folosește în schimb propriul motor de redare, încorporat în aplicație. (Același lucru este valabil și pentru unele browsere Android terțe, cum ar fi Firefox.)
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
În versiunile mai vechi de Android (4.3 și versiuni ulterioare), WebView folosește codul bazat pe Apple Webkit - aceeași tehnologie din spatele browserului Safari. În Android 4.4 și mai sus, WebView se bazează pe Chromium, baza open-source a Google Chrome (care folosește motorul Google Blink). În Android 5.0, WebView a fost lansat ca o aplicație separată, probabil pentru a permite actualizări în timp util prin Google Play fără a fi necesară actualizarea firmware-ului.
Ce se întâmplă?
Cercetători de securitate din MetasploitDupă ce a descoperit mai multe exploatări de securitate în componenta WebView a Android 4.3 și le-a trimis către Google, au publicat un e-mail de la [email protected] dezvăluind că Google, în general, nu dezvoltă patch-uri pentru versiunile WebView pre-Android 4.4.
Fragmentele de e-mail publicate de către priză au scris:
„Dacă versiunea afectată [a WebView] este înainte de 4.4, în general nu dezvoltăm noi înșine patch-urile, dar salutăm patch-urile cu raportul pentru analiză. În afară de notificarea OEM-urilor, nu vom putea lua măsuri cu privire la niciun raport care afectează versiunile anterioare 4.4 care nu sunt însoțite de un patch. "
De ce este rău?
La fel de Metasploit subliniază că peste 60% din dispozitivele Android active rulează în prezent Jeleuri (Android 4.1-4.3) sau o versiune anterioară, lăsându-le potențial deschise pentru nasties bazate pe web atunci când navigați printr-un WebView. Acest lucru este deosebit de îngrijorător pentru cei de pe Android 4.3 și versiuni ulterioare care utilizează browsere web încorporate de la producători precum HTC, Samsung și LG (pentru a numi doar trei), care utilizează WebViews pentru a afișa conținut internetul.
Faptul că Google nu dezvoltă în mod activ remedieri pentru implementările mai vechi WebView înseamnă că depinde de OEM-uri să corecte aceste lucruri singure.
Proprietarii de Android 4.0-4.3 care utilizează browsere non-WebView precum Chrome sau Firefox nu vor fi expuși acestor vulnerabilități atunci când își utilizează browserul web la alegere. Cu toate acestea, ar putea fi în continuare în pericol dacă WebView-ul unei aplicații terțe le direcționează către un site rău intenționat. Acest lucru este mai puțin probabil decât să întâlniți programe malware în timpul navigării pe internet obișnuite, cu toate acestea, având în vedere acest lucru aplicațiile de profil înalt, cum ar fi Feedly și Facebook, utilizează WebViews pentru a afișa conținut terță parte, este departe de a fi imposibil.
Numerele versiunii platformei Android pentru luna care se încheie ianuarie. 5, 2015.
De ce are sens (sau: realitatea actualizării Android)
Adevărata problemă nu este că Google nu va actualiza WebView, ci că atât de multe dispozitive rulează în continuare Android 4.3 și versiuni ulterioare.
Este ușor să confundați simptomul - vulnerabilitățile WebView - cu cauza principală. Adevărata problemă nu este că Google nu va actualiza Jelly Bean's WebView, ci că atât de multe dispozitive sunt încă care rulează Android 4.3 și versiuni ulterioare, cu puține perspective de a fi actualizat, indiferent de orice acțiune ar putea Google lua. Chiar dacă Google ar emite patch-uri pentru codul WebView al lui Jelly Bean (și Ice Cream Sandwich și Gingerbread), utilizatorii ar aștepta în continuare OEM-urile (și operatorii) să împingă actualizările de firmware, așa cum așteaptă pe Android 4.4 astăzi. Și dacă producătorii acestor dispozitive ar fi înclinați să împingă actualizări, este probabil să nu fie blocați pe Android 4.3 sau mai devreme.
Google a remediat problema vizualizărilor web Jelly Bean în urmă cu peste un an. Patch-ul se numește Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14 ianuarie 2015
Din perspectiva Google, soluția pentru această problemă a fost lansată acum mai bine de un an odată cu sosirea Android 4.4 KitKat. Într-o lume ideală, acesta ar fi patch-ul OEM-urilor aplicate pe telefoanele lor Jelly Bean și, ca urmare, nimeni nu ar mai rula Android 4.3 sau mai puțin la mai mult de un an după 4.4 a devenit disponibil. Din păcate, în ciuda eforturilor pe mai multe fronturi, Actualizările Android rămân ceva de tip crapshoot.
Dar există o linie argintie - Google ia măsuri pentru a se asigura că WebView este mai ușor de corecționat în Android 5.0 și nu numai.
Ce acum?
Deoarece Google nu va dezvolta patch-uri pentru Jelly Bean's WebView, depinde de OEM-uri să dezvolte și să lanseze propriile remedieri pe telefoanele și tabletele afectate. Având în vedere că aceste dispozitive rulează deja o versiune destul de veche a sistemului de operare, nu ne oprim ca producătorii și operatorii să implementeze ceva în timp util. Și, pentru a fi clar, acest lucru ar fi probabil indiferent dacă Google a dezvoltat propriile patch-uri Jelly Bean WebView sau nu.
Google a luat deja măsuri pentru a se asigura că WebView poate rămâne la curent cu Lollipop.
Dacă rulați Android 4.3 sau o versiune ulterioară, vă recomandăm să treceți la un browser care nu utilizează WebView, cum ar fi Google Chrome sau Mozilla Firefox. În ceea ce privește protejarea în alte aplicații care utilizează WebViews, este întotdeauna o idee bună să instalați numai aplicații în care aveți încredere și să luați măsuri de precauție de bază atunci când navigați pe web. Facebook, de exemplu, vă permite să dezactivați browserul încorporat și să deschideți link-uri web în browserul ales.
Fiind o parte orientată spre web a sistemului de operare Android dificil de actualizat, WebView este o țintă evidentă pentru oricine dorește pentru a găsi exploit-uri Android care afectează un număr mare de persoane și care nu pot fi anulate imediat de o aplicație Actualizați. De aceea, Google a făcut posibilă actualizarea WebView independent de sistemul de operare din Android 5.0 si dincolo. Dacă s-ar descoperi vulnerabilități similare în WebView-ul Lollipop, Google ar purta pur și simplu o actualizare prin Play Store și ar fi terminat cu aceasta. Cu toate acestea, datorită naturii Android, va dura ceva timp pentru ca Lollipop să devină oriunde la fel de răspândit ca Jelly Bean. Și asta înseamnă că ar putea trece ani înainte ca majoritatea utilizatorilor de Android să beneficieze de noua implementare modulară WebView.
Ai ascultat Android Central Podcast din această săptămână?
În fiecare săptămână, Android Central Podcast vă aduce cele mai noi știri tehnologice, analize și recenzii la cald, cu co-gazde familiare și invitați speciali.
- Abonați-vă în Pocket Casts: Audio
- Abonați-vă în Spotify: Audio
- Abonați-vă în iTunes: Audio
Este posibil să câștigăm un comision pentru achiziții folosind linkurile noastre. Aflați mai multe.
Acestea sunt cele mai bune căști fără fir pe care le puteți cumpăra la orice preț!
Cele mai bune căști fără fir sunt confortabile, sună grozav, nu costă prea mult și se încadrează ușor într-un buzunar.
Tot ce trebuie să știți despre PS5: data lansării, prețul și multe altele.
Sony a confirmat oficial că lucrează la PlayStation 5. Iată tot ce știm despre asta până acum.
Nokia lansează două noi telefoane Android One bugetare sub 200 USD.
Nokia 2.4 și Nokia 3.4 sunt cele mai recente adăugiri la gama de smartphone-uri bugetare HMD Global. Deoarece ambele sunt dispozitive Android One, li se garantează că primesc două actualizări majore ale sistemului de operare și actualizări regulate de securitate timp de până la trei ani.
Asigurați-vă casa cu aceste sonerii și încuietori SmartThings.
Unul dintre cele mai bune lucruri despre SmartThings este că puteți utiliza o serie de alte dispozitive terțe pe sistemul dvs., sonerii și încuietori incluse. Întrucât toți împărtășesc în esență același suport SmartThings, ne-am concentrat asupra dispozitivelor care au cele mai bune specificații și trucuri pentru a justifica adăugarea lor la arsenalul dvs. SmartThings.