Оглавление:
- Перво-наперво: что такое WebView?
- В чем дело?
- Почему это плохо?
- Почему это имеет смысл (или реальность обновления Android)
- Что теперь?
Недавнее открытие о том, что Google больше не разрабатывает исправления безопасности для компонента «WebView» в Android в Jelly Bean и более ранних версиях, снова высветило безопасность Android и проблемы, связанные с защитой одного миллиарда или более активных устройств. Впервые обнародованная Metasploit 12 января, позиция Google по обновлению этого центрального компонента Android была широко освещена в последующие дни.
Так что же такое WebView, и что означает позиция Google в отношении обновлений WebView для владельцев устройств Android? И если вы все еще используете Jelly Bean, что вы можете сделать, чтобы минимизировать риск? Мы подробно рассмотрим после перерыва.
Перво-наперво: что такое WebView?
Просмотр веб-страницы, кроме Chrome? Скорее всего, вы смотрите на WebView.
WebView является частью ОС Android, отвечающей за отображение веб-страниц в большинстве приложений Android. Если вы видите веб-контент в приложении для Android, скорее всего, вы смотрите на WebView. Основным исключением из этого правила является Google Chrome для Android, который использует собственный движок рендеринга, встроенный в приложение. (То же самое касается некоторых сторонних браузеров Android, таких как Firefox.)
В более старых версиях Android (4.3 и ниже) WebView использует код, основанный на Webkit от Apple - та же технология, что и в браузере Safari. В Android 4.4 и выше WebView основан на Chromium, базе с открытым исходным кодом Google Chrome (который использует движок Google Blink.). В Android 5.0 WebView был разрознен как отдельное приложение, предположительно для обеспечения своевременного обновления через Google Play без необходимости выпуска обновлений прошивки.
В чем дело?
Исследователи безопасности из Metasploit, обнаружив несколько уязвимостей в компоненте WebView Android 4.3 и отправив их в Google, опубликовали электронное письмо от [email protected], в котором сообщается, что Google, как правило, не разрабатывает исправления для версий WebView до Android 4.4 до версии 4.4.,
Выдержки из электронной почты, опубликованные изданием, гласят:
«Если уязвимая версия до 4.4, мы, как правило, сами не разрабатываем исправления, но приветствуем исправления с отчетом для рассмотрения. Кроме уведомления OEM-производителей, мы не сможем принять меры в отношении любого отчета, который затрагивает версии до 4.4, которые не сопровождаются патчем ".
Почему это плохо?
Как отмечает Metasploit, более 60 процентов активных устройств Android в настоящее время работают с Jelly Bean (Android 4.1-4.3) или более ранней версией, что потенциально оставляет их открытыми для веб-приложений и гадостей при просмотре через WebView. Это особенно беспокоит тех, кто работает на Android 4.3 и ниже, используя встроенные веб-браузеры таких производителей, как HTC, Samsung и LG (если не считать трех), которые используют WebView для отображения контента из Интернета.
Тот факт, что Google не занимается активной разработкой исправлений для более старых реализаций WebView, означает, что OEM-производители могут самостоятельно исправлять эти проблемы.
Владельцы Android 4.0-4.3, использующие браузеры без WebView, такие как Chrome или Firefox, не будут подвержены этим уязвимостям при использовании своего веб-браузера по своему выбору. Однако они все еще могут подвергаться риску, если WebView стороннего приложения направляет их на вредоносный сайт. Это менее вероятно, чем попадание на вредоносные программы в ходе обычного просмотра веб-страниц, однако, учитывая, что такие высокопрофильные приложения, как Feedly и Facebook, используют веб-представления для отображения стороннего контента, это далеко не невозможно.
Номера версий платформы Android за месяц, заканчивающийся 5 января 2015 г.
Почему это имеет смысл (или реальность обновления Android)
Реальная проблема не в том, что Google не будет обновлять WebView, а в том, что на многих устройствах по-прежнему работает Android 4.3 и ниже.
Легко спутать симптом - уязвимости WebView - с основной причиной. Реальная проблема не в том, что Google не будет обновлять WebView Jelly Bean, а в том, что на многих устройствах по-прежнему работает Android 4.3 и ниже с малой вероятностью обновления, независимо от того, какие действия Google может предпринять. Даже если бы Google выпустил исправления для кода WebView Jelly Bean (и Ice Cream Sandwich, и Gingerbread's), пользователи все равно будут ждать от OEM-производителей (и операторов) выпусков обновлений прошивки, так же, как они ожидают сегодня на Android 4.4. И если бы производители этих устройств были склонны выдвигать обновления вообще, скорее всего, они не застряли бы на Android 4.3 или более ранних с самого начала.
Google исправил проблему веб-просмотра Jelly Bean более года назад. Патч называется Android 4.4 KitKat.
- Алекс Доби (@alexdobie) 14 января 2015 г.
С точки зрения Google, исправление этой проблемы было выпущено более года назад с появлением Android 4.4 KitKat. В идеальном мире это были бы производители исправлений, применяемые к их телефонам Jelly Bean, и в результате никто не будет использовать Android 4.3 или ниже более чем через год после выхода 4.4. К сожалению, несмотря на усилия по нескольким направлениям, обновления для Android остаются чем-то вроде чепухи.
Но есть серебряная подкладка - Google предпринимает шаги, чтобы гарантировать, что WebView легче будет исправлять в Android 5.0 и более поздних версиях.
Что теперь?
Поскольку Google не будет разрабатывать исправления для WebView Jelly Bean, именно OEM-разработчики должны разработать и внедрить собственные исправления для уязвимых телефонов и планшетов. Учитывая, что на этих устройствах уже установлена довольно старая версия ОС, мы не задерживаемся на том, чтобы производители и операторы своевременно развернули что-либо. И чтобы быть ясным, это, вероятно, имело бы место независимо от того, разработала ли Google собственные патчи Jelly Bean WebView или нет.
Google уже предпринял шаги, чтобы убедиться, что WebView может оставаться в курсе событий в Lollipop.
Если вы используете Android 4.3 или ниже, мы рекомендуем переключиться на браузер, который не использует WebView, например, Google Chrome или Mozilla Firefox. Что касается защиты себя в других приложениях, использующих WebView, всегда полезно устанавливать только те приложения, которым вы доверяете, и соблюдать основные меры предосторожности при просмотре веб-страниц. Например, Facebook позволяет отключить встроенный браузер и открывать веб-ссылки в выбранном браузере.
Являясь веб-частью ОС Android, которую сложно обновить, WebView является очевидной целью для тех, кто хочет найти эксплойты Android, затрагивающие большое количество людей, и которые не могут быть немедленно аннулированы обновлением приложения. Именно поэтому Google сделал возможным обновление WebView независимо от операционной системы Android 5.0 и выше. Если подобные уязвимости были обнаружены в WebView Lollipop, Google просто выпустит обновление через Play Store и покончит с этим. Тем не менее, из-за особенностей Android, Lollipop потребуется время, чтобы стать столь же широко распространенным, как Jelly Bean. А это означает, что могут пройти годы, прежде чем большинство пользователей Android получат выгоду от новой модульной реализации WebView.
