Недавнее открытие, что Google больше не разрабатывает исправления безопасности для компонента "WebView" Android в Жевательные конфеты и ранее снова привлекла внимание к безопасности Android и проблемам, связанным с защитой около миллиарда активных устройств. Впервые раскрыто Metasploit января 12, позиция Google в отношении обновления этого центрального компонента Android широко освещалась в последующие дни.
Так что же такое WebView и что означает позиция Google в отношении обновлений WebView для владельцев устройств Android? А если вы все еще используете Jelly Bean, что вы можете сделать, чтобы минимизировать риск? После перерыва мы рассмотрим подробнее.
Перво-наперво: что такое WebView?
Просматриваете веб-страницу в чем-нибудь, кроме Chrome? Скорее всего, вы смотрите на WebView.
WebView - это часть ОС Android, отвечающая за рендеринг веб-страниц в самый Приложения для Android. Если вы видите веб-контент в приложении для Android, скорее всего, вы смотрите на WebView. Основным исключением из этого правила является Google Chrome для Android, который вместо этого использует собственный механизм рендеринга, встроенный в приложение. (То же самое касается некоторых сторонних браузеров Android, таких как Firefox.)
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
В более старых версиях Android (4.3 и ниже) WebView использует код, основанный на Apple Webkit - той же технологии, что и браузер Safari. В Android 4.4 и выше, WebView основан на Chromium, базе Google Chrome с открытым исходным кодом (которая использует движок Google Blink). В Android 5.0, WebView был выделен как отдельное приложение, предположительно для обеспечения своевременных обновлений через Google Play без необходимости выпуска обновлений прошивки.
В чем дело?
Исследователи безопасности из Metasploit, обнаружив несколько уязвимостей безопасности в компоненте WebView Android 4.3 и отправив их в Google, опубликовали электронное письмо от [email protected] показывает, что Google обычно не разрабатывает патчи для версий WebView до Android 4.4.
Отрывки из электронного письма, опубликованные изданием, гласят:
«Если уязвимая версия [WebView] - до 4.4, мы обычно не разрабатываем исправления сами, но приветствуем исправления вместе с отчетом на рассмотрение. Помимо уведомления производителей оборудования, мы не сможем принять меры по любому отчету, который затрагивает версии до 4.4, не сопровождаемые патчем ".
Почему это плохо?
В качестве Metasploit указывает, что более 60 процентов активных устройств Android в настоящее время работают Жевательные конфеты (Android 4.1-4.3) или более ранней версии, потенциально оставляя их открытыми для веб-гадостей при просмотре через WebView. Это особенно беспокоит пользователей Android 4.3 и ниже, использующих встроенные веб-браузеры от производители, такие как HTC, Samsung и LG (это лишь три), которые используют WebView для отображения контента из паутина.
Тот факт, что Google не занимается активной разработкой исправлений для старых реализаций WebView, означает, что OEM-производители должны исправлять это самостоятельно.
Владельцы Android 4.0-4.3, использующие браузеры, не поддерживающие WebView, такие как Chrome или Firefox, не будут подвержены этим уязвимостям при использовании своего веб-браузера. Однако они все равно могут подвергаться риску, если стороннее приложение WebView направит их на вредоносный сайт. Это менее вероятно, чем столкновение с вредоносным ПО в ходе обычного просмотра веб-страниц, однако с учетом того, что такие громкие приложения, как Feedly и Facebook, используют WebView для отображения стороннего контента, это далеко не так. невозможно.
Номера версий платформы Android за месяц до января. 5, 2015.
Почему это имеет смысл (или: реальность обновления Android)
Настоящая проблема не в том, что Google не будет обновлять WebView, а в том, что многие устройства все еще работают под управлением Android 4.3 и ниже.
Признак - уязвимость WebView - легко спутать с основной причиной. Настоящая проблема не в том, что Google не будет обновлять WebView в Jelly Bean, а в том, что многие устройства все еще работает под управлением Android 4.3 и ниже с небольшой перспективой обновления, независимо от того, какие действия Google может взять. Даже если бы Google выпустил исправления для кода Jelly Bean WebView (и Ice Cream Sandwich, и Gingerbread), пользователи по-прежнему будут ждать, пока OEM-производители (и операторы) выпустят обновления прошивки, так же как они ждут Android 4.4. Cегодня. И если бы производители этих устройств вообще были склонны выпускать обновления, скорее всего, они с самого начала не застряли бы на Android 4.3 или более ранней версии.
Google исправил проблему с веб-просмотром Jelly Bean более года назад. Патч называется Android 4.4 KitKat.
- Алекс Доби (@alexdobie) 14 января 2015 г.
С точки зрения Google, исправление этой проблемы было выпущено более года назад с появлением Android 4.4 KitKat. В идеальном мире это были бы OEM-производители патчей, применяемые к своим телефонам Jelly Bean, и в результате никто не будет использовать Android 4.3 или ниже более чем через год. 4.4 стал доступен. К сожалению, несмотря на усилия по нескольким направлениям, Обновления Android остаются чем-то вроде дерьма.
Но есть серебряная подкладка - Google предпринимает шаги, чтобы упростить исправление WebView в Android 5.0 и более поздних версиях.
Что теперь?
Поскольку Google не будет разрабатывать исправления для WebView от Jelly Bean, OEM-производители должны разработать и внедрить свои собственные исправления для затронутых телефонов и планшетов. Учитывая, что на этих устройствах уже установлена довольно старая версия ОС, мы не задерживаем дыхание, чтобы производители и операторы могли своевременно развертывать что-либо. И чтобы быть ясным, это, вероятно, будет иметь место независимо от того, разработал ли Google свои собственные патчи Jelly Bean WebView или нет.
Google уже предпринял шаги, чтобы убедиться, что WebView может оставаться в курсе последних событий в Lollipop.
Если вы используете Android 4.3 или ниже, мы рекомендуем перейти на браузер, который не использует WebView, например Гугл Хром или Mozilla Firefox. Что касается защиты себя в других приложениях, использующих WebViews, всегда рекомендуется устанавливать только те приложения, которым вы доверяете, и принимать основные меры предосторожности при просмотре веб-страниц. Facebook, например, позволяет отключить встроенный браузер и открывать веб-ссылки в выбранном вами браузере.
WebView - это веб-часть ОС Android, которую сложно обновить, поэтому он является очевидной целью для всех, кто хочет найти уязвимости Android, которые затрагивают большое количество людей и которые не могут быть немедленно аннулированы приложением Обновить. Несомненно, поэтому Google сделал возможным обновлять WebView независимо от ОС в Android 5.0 и дальше. Если бы аналогичные уязвимости были обнаружены в WebView Lollipop, Google просто выпустил бы обновление через Play Store и покончил с ним. Однако из-за природы Android потребуется время, чтобы Lollipop стал настолько же широко распространенным, как Jelly Bean. А это означает, что могут пройти годы, прежде чем большинство пользователей Android извлекут выгоду из новой модульной реализации WebView.
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими отзывами со знакомыми ведущими и специальными гостями.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Защитите свой дом с помощью дверных звонков и замков SmartThings.
Одна из лучших особенностей SmartThings заключается в том, что вы можете использовать множество других сторонних устройств в своей системе, включая дверные звонки и замки. Поскольку все они, по сути, имеют одинаковую поддержку SmartThings, мы сосредоточились на том, какие устройства обладают лучшими характеристиками и хитростями, чтобы оправдать добавление их в ваш арсенал SmartThings.