Разбиране на паяжините за сигурност в интернет и андроид

Неотдавнашно разкритие, че Google вече не разработва кръпки за сигурност за компонента „WebView“ на Android в Jelly Bean и по-рано отново постави прожектор на сигурността на Android и предизвикателствата, свързани с осигуряването на милиарда или толкова активни устройства. За пръв път разкрит от Metasploit на 12 януари, позицията на Google за актуализирането на този централен компонент за Android беше широко отчетена през следващите дни.

И така, какво точно представлява WebView и какво означава позицията на Google за актуализациите на WebView за собствениците на устройства с Android? И ако все още управлявате Jelly Bean, какво можете да направите, за да имитирате риска? Ще разгледаме подробно след почивката.

Първи неща първо: Какво е WebView?

Гледате уеб страница в нещо освен Chrome? Вероятно гледате на WebView.

WebView е частта от операционната система Android, отговорна за изобразяването на уеб страници в повечето приложения за Android. Ако виждате уеб съдържание в приложение за Android, има вероятност да погледнете WebView. Основното изключение от това правило е Google Chrome за Android, който вместо това използва свой собствен механизъм за изобразяване, вграден в приложението. (Същото важи и за някои други браузъри на Android като Firefox.)

В по-старите версии на Android (4.3 и по-нови) WebView използва код, базиран на Webkit на Apple - същата технология зад браузъра Safari. В Android 4.4 и по-нови версии WebView е базиран на Chromium, базата данни с отворен код на Google Chrome (която използва двигателя Blink на Google.). В Android 5.0 WebView беше обособен като отделно приложение, вероятно за да позволи навременни актуализации чрез Google Play, без да се изисква издаване на актуализации на фърмуера.

Какво става?

Изследователите по сигурността от Metasploit, след като откриха няколко подвиза за сигурност в компонента WebView на Android 4.3 и ги изпратиха на Google, публикуваха имейл от [email protected], разкриващ, че Google по принцип не разработва кръпки за версии на WebView, пред Android 4.4.,

Издадените от търговската мрежа откъси от имейл гласиха:

"Ако засегнатата версия е преди 4.4, обикновено не разработваме пачовете сами, но приветстваме корекции с доклада за разглеждане. Освен като уведомяваме OEM производители, няма да можем да предприемем действия за всеки доклад, който засяга версии преди 4.4, не са придружени с лепенка."

Защо е лошо?

Както Metasploit посочва, в момента над 60 процента от активните устройства с Android работят Jelly Bean (Android 4.1-4.3) или по-рано, което потенциално ги оставя отворени за уеб базирани насти, когато сърфират през WebView. Това е особено притеснително за тези на Android 4.3 и по-долу, използвайки вградени уеб браузъри от производители като HTC, Samsung и LG (да назовем само три), които използват WebViews за показване на съдържание от мрежата.

Фактът, че Google не разработва активно поправки за по-стари реализации на WebView, означава, че от OEM-тата трябва да се закърпят самостоятелно.

Собствениците на Android 4.0-4.3, които използват браузъри, които не са WebView като Chrome или Firefox, няма да бъдат изложени на тези уязвимости при използване на уеб браузъра по избор. Въпреки това те все още могат да бъдат изложени на риск, ако WebView на приложение на трети страни ги насочи към злонамерен сайт. Това е по-малко вероятно, отколкото да се натъкнете на злонамерен софтуер в хода на редовно сърфиране в интернет, но като се има предвид, че високопрофилни приложения като Feedly и Facebook използват WebViews за показване на съдържание на трети страни, това е далеч от невъзможно.

Номерата на версиите на Android платформа за месец, приключващ на 5 януари 2015 г.

Защо това има смисъл (или: реалността за актуализиране на Android)

Истинският проблем не е, че Google няма да актуализира WebView, а че толкова много устройства все още работят с Android 4.3 и по-нови версии.

Лесно е да объркате симптома - уязвимостите на WebView - с основната причина. Истинският проблем не е, че Google няма да актуализира WebView на Jelly Bean, а в това, че толкова много устройства продължават да работят с Android 4.3 и по-ниска версия с малка перспектива да бъдат актуализирани, независимо от какви действия може да предприеме Google. Дори ако Google издава пачове за кода на WebView на Jelly Bean (и за сандвич на сладолед, и за натруфен), потребителите все още ще чакат OEM-та (и превозвачи) да изтласкат актуализации на фърмуера, точно както чакат днес на Android 4.4. И ако производителите на тези устройства изобщо са били склонни да изтласкат актуализации, има вероятност те да не се задържат на Android 4.3 или по-рано за начало.

Google отстрани проблема с преглед на Jelly Bean преди повече от година. Пластирът се нарича Android 4.4 KitKat.

- Алекс Доби (@alexdobie) 14 януари 2015 г.

От гледна точка на Google, поправката за този брой бе пусната преди повече от година с пристигането на Android 4.4 KitKat. В идеален свят това ще са оригиналните OEM производители, прилагани към техните телефони Jelly Bean, и в резултат на това никой няма да работи с Android 4.3 или по-малко от една година, след като 4.4 стана достъпна. За съжаление, въпреки усилията на няколко фронта, актуализациите за Android остават нещо като глупост.

Но има сребърна подплата - Google предприема стъпки, за да гарантира, че WebView е по-лесен за закрепване в Android 5.0 и по-нови версии.

Сега какво?

Тъй като Google няма да разработва кръпки към WebView на Jelly Bean, зависи от OEM производителите да разработят и разгърнат свои корекции на засегнатите телефони и таблети. Като се има предвид, че тези устройства вече работят с доста стара версия на операционната система, ние не задържаме дъх на производителите и превозвачите да внедрят нещо своевременно. И за да бъде ясно, това вероятно ще е така, независимо дали Google е разработил свои собствени лепенки Jelly Bean WebView или не.

Google вече предприе стъпки, за да гарантира, че WebView може да бъде актуален в Lollipop.

Ако използвате Android 4.3 или по-нова, препоръчваме да преминете към браузър, който не използва WebView, като Google Chrome или Mozilla Firefox. Що се отнася до защитата в други приложения, които използват WebViews, винаги е добра идея да инсталирате само приложения, на които имате доверие, и да предприемете основни предпазни мерки, когато сърфирате в мрежата. Facebook например ви позволява да деактивирате вградения му браузър и да отваряте уеб връзки в браузъра по ваш избор.

Като част, насочена към мрежата на операционната система Android, която е трудно да се актуализира, WebView е очевидна цел за всеки, който иска да намери подвизи за Android, които засягат голям брой хора и които не могат да бъдат анулирани веднага с актуализация на приложението. Това със сигурност е защо Google даде възможност да актуализира WebView независимо от ОС в Android 5.0 и по-нови версии. Ако подобни уязвимости бяха открити в WebView на Lollipop, Google просто ще избута актуализация през Play Store и ще бъде свършено с нея. Въпреки това, поради естеството на Android, ще отнеме време Lollipop да стане навсякъде, тъй като е толкова широко разпространен, колкото Jelly Bean. А това означава, че може да минат години, преди мнозинството потребители на Android да се възползват от новата, модулна реализация на WebView.