Obsah:
- Najprv prvé: Čo je to WebView?
- Čo sa deje?
- Prečo je to zlé?
- Prečo to dáva zmysel (alebo: realita aktualizácie systému Android)
- Čo teraz?
Nedávne odhalenie, že spoločnosť Google už nevyvíja bezpečnostné záplaty pre súčasť „WebView“ systému Android v Jelly Bean a staršej verzii, opäť kladie dôraz na bezpečnosť systému Android a problémy spojené so zabezpečením približne jednej miliardy aktívnych zariadení. Metasploit prvýkrát odhalil 12. januára, postoj spoločnosti Google k aktualizácii tejto centrálnej súčasti systému Android bol v nasledujúcich dňoch široko publikovaný.
Čo presne je WebView a čo znamená postoj spoločnosti Google k aktualizáciám WebView pre vlastníkov zariadení s Androidom? A ak stále prevádzkujete Jelly Bean, čo môžete urobiť pre napodobnenie rizika? Po prestávke sa podrobne postaráme.
Najprv prvé: Čo je to WebView?
Pozeráte webovú stránku v niečom okrem prehliadača Chrome? Pravdepodobne hľadáte WebView.
WebView je časť operačného systému Android zodpovedná za vykresľovanie webových stránok vo väčšine aplikácií pre Android. Ak vidíte webový obsah v aplikácii pre Android, pravdepodobne sa pozeráte na webové zobrazenie. Hlavnou výnimkou z tohto pravidla je prehliadač Google Chrome pre Android, ktorý namiesto toho používa vlastný renderovací modul zabudovaný do aplikácie. (To isté platí pre niektoré prehliadače Android tretích strán, ako je napríklad Firefox.)
V starších verziách systému Android (4.3 a nižšie) používa WebView kód založený na Webkit spoločnosti Apple - to isté za prehliadačom Safari. V systéme Android 4.4 a novších verziách je WebView založený na prehliadači Chromium, ktorý je otvoreným zdrojom prehliadača Google Chrome (ktorý používa modul Blink spoločnosti Google). V systéme Android 5.0 bol produkt WebView rozdelený ako samostatná aplikácia, ktorá pravdepodobne umožňuje včasné aktualizácie prostredníctvom služby Google Play bez potreby vydávania aktualizácií firmvéru.
Čo sa deje?
Výskumníci v oblasti bezpečnosti od spoločnosti Metasploit po tom, čo objavili niekoľko bezpečnostných exploitov v komponente WebView systému Android 4.3 a odoslali ich spoločnosti Google, zverejnili e-mail zo stránky [email protected], v ktorom sa uvádza, že spoločnosť Google vo všeobecnosti nevyvíja záplaty pre verzie WebView pred Androidom 4.4.,
Výňatky z e-mailu uverejnené predajňou čítali:
„Ak je ovplyvnená verzia pred 4.4, spravidla nevyvíjame záplaty sami, ale vítame záplaty so správou na zváženie. Okrem oznámenia OEM nebudeme môcť podniknúť žiadne kroky v súvislosti so správami, ktoré ovplyvňujú verzie pred 4.4, ktoré nie sú sprevádzané náplasťou. ““
Prečo je to zlé?
Ako zdôrazňuje Metasploit, viac ako 60 percent aktívnych zariadení s Androidom v súčasnosti používa Jelly Bean (Android 4.1-4.3) alebo staršie verzie, čo ich pri prehliadaní cez WebView potenciálne otvára webovým nastiám. Toto je obzvlášť znepokojujúce pre tých, ktorí používajú Android 4.3 a novší a používajú vstavané webové prehliadače od výrobcov ako HTC, Samsung a LG (aby sme vymenovali aspoň tri), ktorí používajú WebView na zobrazovanie obsahu z webu.
Skutočnosť, že spoločnosť Google aktívne nevyvíja opravy starších implementácií WebView, je na OEM, aby si tieto veci opravili sami.
Vlastníci systému Android 4.0-4.3 používajúci prehliadače, ktoré nepochádzajú z WebView, ako napríklad Chrome alebo Firefox, nebudú pri používaní svojho internetového prehliadača vystavení týmto zraniteľnostiam. Stále však môžu byť ohrození, ak ich aplikácia WebView aplikácie tretej strany nasmeruje na škodlivé stránky. Je to menej pravdepodobné ako pri bežnom prehliadaní webových stránok, než je škodlivý softvér, avšak vzhľadom na to, že vysoko profilové aplikácie ako Feedly a Facebook používajú na zobrazenie obsahu tretích strán webové zobrazenia, nie je to zďaleka nemožné.
Čísla verzií platformy Android za mesiac, ktorý sa končí 5. januára 2015.
Prečo to dáva zmysel (alebo: realita aktualizácie systému Android)
Skutočným problémom nie je to, že Google neaktualizuje WebView, ale že toľko zariadení stále používa systém Android 4.3 a nižší.
Je ľahké zamieňať príznak - zraniteľné miesta WebView - s hlavnou príčinou. Skutočným problémom nie je to, že Google neaktualizuje WebView aplikácie Jelly Bean, ale že toľko zariadení stále používa systém Android 4.3 a nižší s malou perspektívou aktualizácie, bez ohľadu na to, aké kroky môže spoločnosť Google podniknúť. Aj keby spoločnosť Google vydávala opravy pre kód WebView Jelly Bean (a Ice Cream Sandwich a Gingerbread's), používatelia by stále čakali na výrobcov OEM (a operátorov), aby vytlačili aktualizácie firmvéru, rovnako ako dnes čakajú na Android 4.4. A ak by výrobcovia týchto zariadení mali tendenciu tlačiť aktualizácie vôbec, je pravdepodobné, že by sa na Android 4.3 alebo skôr nespustili.
Spoločnosť Google vyriešila problém s webovým zobrazením Jelly Bean pred rokom. Oprava sa nazýva Android 4.4 KitKat.
- Alex Dobie (@alexdobie) 14. januára 2015
Z pohľadu spoločnosti Google bola oprava tohto problému zverejnená pred viac ako rokom, keď prichádza Android 4.4 KitKat. V ideálnom svete by to boli náplasti OEM aplikované na ich telefóny Jelly Bean a v dôsledku toho by nikto nemohol používať systém Android 4.3 alebo nižší viac ako rok po sprístupnení 4.4. Bohužiaľ, aj napriek úsiliu na viacerých frontoch zostávajú aktualizácie pre Android niečo ako crapshoot.
Existuje však strieborná podšívka - spoločnosť Google podniká kroky na zabezpečenie toho, aby sa webový prehliadač ľahšie opravoval v systéme Android 5.0 a ďalších verziách.
Čo teraz?
Pretože Google nebude vyvíjať záplaty pre WebView Jelly Bean, je na OEM, aby vyvíjali a zavádzali svoje vlastné opravy na postihnutých telefónoch a tabletoch. Vzhľadom na to, že tieto zariadenia už používajú pomerne starú verziu operačného systému, nedržíme dych nad tým, aby výrobcovia a dopravcovia mohli čoskoro nasadiť čokoľvek. A bolo by jasné, že by to tak pravdepodobne bolo bez ohľadu na to, či spoločnosť Google vyvinula svoje vlastné opravy Jelly Bean WebView alebo nie.
Spoločnosť Google už podnikla kroky na zabezpečenie toho, aby WebView mohol byť v službe Lollipop aktuálny.
Ak používate systém Android 4.3 alebo nižší, odporúčame vám prepnúť na prehliadač, ktorý nepoužíva WebView, napríklad Google Chrome alebo Mozilla Firefox. Pokiaľ ide o ochranu seba v iných aplikáciách, ktoré používajú webové zobrazenia, vždy je dobré inštalovať iba aplikácie, ktorým dôverujete, a pri prehliadaní webu podniknúť základné bezpečnostné opatrenia. Napríklad Facebook vám umožňuje zakázať jeho vstavaný prehliadač a otvárať webové odkazy vo vybranom prehliadači.
Ako súčasť operačného systému Android zameraná na web, ktorá sa ťažko aktualizuje, je WebView očividným cieľom pre každého, kto chce nájsť výhody systému Android, ktoré ovplyvňujú veľké množstvo ľudí, a ktoré nemôžu byť okamžite aktualizáciou aplikácie zrušené. To je dôvod, prečo spoločnosť Google umožnila aktualizáciu WebView nezávisle od OS v systéme Android 5.0 a ďalších verziách. Ak by sa podobné chyby zabezpečenia objavili vo WebView spoločnosti Lollipop, spoločnosť Google jednoducho vytlačí aktualizáciu prostredníctvom Obchodu Play a urobí sa s ňou. Vzhľadom na povahu systému Android však bude nejaký čas trvať, kým sa Lollipop priblíži tak blízko, ako je Jelly Bean. A to znamená, že by mohlo trvať roky, kým bude väčšina používateľov systému Android profitovať z novej modulárnej implementácie WebView.
