Memahami webview dan patch keselamatan android

Satu wahyu baru-baru ini bahawa Google tidak lagi mengembangkan patch keselamatan untuk komponen "WebView" Android dalam Jelly Bean dan sebelum ini sekali lagi meletakkan perhatian terhadap keselamatan Android, dan cabaran yang terlibat dengan memperoleh satu bilion atau lebih peranti aktif. Pertama kali didedahkan oleh Metasploit pada 12 Januari, pendirian Google untuk mengemas kini komponen Android pusat ini telah dilaporkan secara meluas pada hari-hari berikutnya.

Jadi apa sebenarnya WebView, dan apakah sikap Google mengenai pembaruan WebView bagi pemilik peranti Android? Dan jika anda masih menjalankan Jelly Bean, apakah yang boleh anda lakukan untuk meminimumkan risiko? Kami akan melihat rupa terperinci selepas rehat.

Perkara pertama dahulu: Apa itu WebView?

Melihat halaman web dalam apa-apa selain Chrome? Kemungkinan anda melihat WebView.

WebView adalah sebahagian daripada OS Android yang bertanggungjawab untuk membuat laman web dalam kebanyakan aplikasi Android. Jika anda melihat kandungan web dalam apl Android, kemungkinan anda melihat WebView. Pengecualian utama untuk peraturan ini adalah Google Chrome untuk Android, yang sebaliknya menggunakan enjin rendering sendiri, dibina ke dalam aplikasi. (Begitu juga untuk beberapa pelayar Android pihak ketiga seperti Firefox.)

Dalam versi Android yang lebih tua (4.3 dan ke bawah), WebView menggunakan kod berdasarkan Webkit Apple - teknologi yang sama di belakang pelayar Safari. Dalam Android 4.4 dan ke atas, WebView didasarkan pada Chromium, asas sumber terbuka Google Chrome (yang menggunakan enjin Blink Google.). Dalam Android 5.0, WebView telah dipecah sebagai aplikasi berasingan, mungkin untuk membenarkan kemas kini tepat pada masanya melalui Google Play tanpa memerlukan kemas kini firmware dikeluarkan.

Apa yang sedang berlaku?

Penyelidik keselamatan dari Metasploit, setelah menemui beberapa eksploit keselamatan dalam komponen WebView Android 4.3 dan menyerahkannya kepada Google, telah menerbitkan e-mel dari [email protected] yang mendedahkan bahawa Google secara amnya tidak membangun patch untuk pra-Android versi 4.4 WebView.

Petikan e-mel yang diterbitkan oleh salur baca:

"Sekiranya versi yang terjejas adalah sebelum 4.4, kita secara amnya tidak mengembangkan patch kita sendiri, tetapi patch selamat datang dengan laporan untuk dipertimbangkan. Selain daripada memberitahu OEM, kita tidak akan dapat mengambil tindakan terhadap apa-apa laporan yang menjejaskan versi sebelum 4.4 yang tidak disertai patch."

Mengapa ia buruk?

Seperti yang ditunjukkan oleh Metasploit, lebih daripada 60 peratus peranti Android yang aktif sedang menjalankan Jelly Bean (Android 4.1-4.3) atau lebih awal, berpotensi menjadikannya terbuka kepada nasties berasaskan web semasa melayari WebView. Ini amat membimbangkan bagi mereka di Android 4.3 dan ke bawah menggunakan pelayar web terbina daripada pengeluar seperti HTC, Samsung dan LG (untuk menamakan tetapi tiga), yang menggunakan WebViews untuk memaparkan kandungan dari web.

Hakikat bahawa Google tidak sedang membangunkan pembaikan secara aktif untuk pelaksanaan WebView yang lebih lama bermakna ia terpulang kepada OEM untuk menambal barangan ini dengan sendirinya.

Pemilik Android 4.0-4.3 menggunakan pelayar web tidak seperti Chrome atau Firefox tidak akan terdedah kepada kelemahan ini apabila menggunakan pelayar web mereka pilihan. Walau bagaimanapun, mereka masih boleh berisiko sekiranya WebView aplikasi pihak ketiga mengarahkan mereka ke tapak yang berniat jahat. Ini adalah kurang berkemungkinan daripada berjalan ke malware semasa penyemakan imbas web biasa, namun dengan adanya aplikasi berprofil tinggi seperti Feedly dan Facebook menggunakan WebView untuk memaparkan kandungan pihak ketiga, jauh dari mustahil.

Nombor versi platform Android untuk bulan yang berakhir pada 5 Januari 2015.

Kenapa ia masuk akal (atau: realiti mengemas kini Android)

Masalah sebenar bukan kerana Google tidak akan mengemas kini WebView, tetapi begitu banyak peranti yang masih menjalankan Android 4.3 dan ke bawah.

Ia mudah untuk mengelirukan gejala - Kerentanan WebView - dengan sebab utama. Masalah sebenar bukanlah bahawa Google tidak akan mengemas kini WebView Jelly Bean, tetapi begitu banyak peranti yang masih menjalankan Android 4.3 dan ke bawah dengan prospek kecil untuk dikemas kini, tanpa mengira apa tindakan yang mungkin diambil oleh Google. Walaupun Google akan mengeluarkan patch untuk kod WebView Jelly Bean (dan Ice Cream Sandwich's, dan Gingerbread's), pengguna masih menunggu OEM (dan pembawa) untuk menolak kemas kini firmware, seperti yang mereka sedang menunggu di Android 4.4 hari ini. Dan jika pengeluar peranti ini cenderung untuk menolak kemas kini sama sekali, kemungkinan mereka tidak akan tersangkut di Android 4.3 atau lebih awal untuk bermula dengan.

Google menetapkan isu pandangan Jelly Bean lebih setahun yang lalu. Patch dipanggil Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 Januari 2015

Dari perspektif Google, masalah untuk isu ini dikeluarkan lebih daripada setahun lalu dengan kedatangan Android 4.4 KitKat. Di dunia yang ideal, itu akan menjadi patch OEM yang digunakan untuk telefon Jelly Bean mereka, dan sebagai akibatnya tiada siapa yang akan menjalankan Android 4.3 atau lebih kurang dari setahun selepas 4.4 menjadi tersedia. Sayangnya, walaupun usaha di pelbagai bidang, kemas kini Android tetap menjadi sesuatu crapshoot.

Tetapi terdapat lapisan perak - langkah-langkah Google untuk memastikan WebView lebih mudah untuk dipasang di Android 5.0 dan seterusnya.

Apa sekarang?

Kerana Google tidak akan mengembangkan patch untuk WebView Jelly Bean, terpulang kepada OEM untuk membangun dan melancarkan perbaikan mereka sendiri pada telefon dan tablet yang terjejas. Memandangkan peranti ini sudah menjalankan versi OS yang lama, kami tidak memegang nafas kami untuk pengilang dan pembawa untuk menggunakan apa-apa pada masa yang tepat. Dan untuk menjadi jelas, itu mungkin akan menjadi perkara yang tidak kira sama ada Google mengembangkan patch WebView Jelly Bean sendiri atau tidak.

Langkah-langkah Google telah diambil untuk memastikan WebView boleh kekal terkini di Lollipop.

Sekiranya anda menjalankan Android 4.3 atau ke bawah, kami mengesyorkan bertukar kepada pelayar yang tidak menggunakan WebView, seperti Google Chrome atau Mozilla Firefox. Bagi melindungi diri anda dalam aplikasi lain yang menggunakan WebView, ia sentiasa merupakan idea yang baik untuk hanya memasang aplikasi yang anda percayai, dan mengambil langkah berjaga-jaga asas semasa menyemak imbas web. Sebagai contoh, Facebook membolehkan anda melumpuhkan penyemak imbas terbina dalamnya dan membuka pautan web dalam pilihan penyemak imbas anda.

Sebagai bahagian web yang dihadapi oleh OS Android yang sukar dikemaskini, WebView merupakan sasaran yang jelas bagi sesiapa yang ingin mencari eksploitasi Android yang mempengaruhi sejumlah besar orang, dan itu tidak dapat dibatalkan segera oleh kemas kini aplikasi. Itulah sebabnya mengapa Google telah memungkinkan untuk mengemas kini WebView secara bebas daripada OS di Android 5.0 dan seterusnya. Jika kelemahan yang serupa ditemui di WebView Lollipop, Google hanya akan menolak kemas kini melalui Play Store dan dilakukan dengannya. Walau bagaimanapun, disebabkan sifat Android, ia akan mengambil masa untuk Lollipop menjadi hampir sama seperti yang meluas sebagai Jelly Bean. Dan itu bermakna ia boleh bertahun-tahun sebelum majoriti pengguna Android mendapat manfaat daripada pelaksanaan WebView modular yang baru.