Izpratne par tīmekļa skatījumu un android drošības ielāpiem

Nesenais atklājums, ka Google vairs neveido drošības ielāpus Android komponentam "WebView" Jelly Bean un agrāk atkal ir pievērsis uzmanību Android drošībai un izaicinājumiem, kas saistīti ar aptuveni viena miljarda aktīvo ierīču nodrošināšanu. Pirmoreiz Metasploit atklāja 12. janvārī, nākamajās dienās plaši tika ziņots par Google nostāju atjaunināt šo centrālo Android komponentu.

Kas īsti ir WebView, un ko Google nostāja attiecībā uz WebView atjauninājumiem nozīmē Android ierīču īpašniekiem? Un, ja jūs joprojām vadāt Jelly Bean, ko jūs varat darīt, lai mazinātu risku? Pēc pārtraukuma mēs sīki apskatīsim.

Pirmās lietas: Kas ir WebView?

Vai tīmekļa lapu skatāt kaut ko citu, izņemot pārlūku Chrome? Iespējams, ka jūs skatāties WebView.

WebView ir tā Android operētājsistēmas daļa, kas ir atbildīga par tīmekļa lapu renderēšanu lielākajā daļā Android lietotņu. Ja Android lietotnē redzat tīmekļa saturu, iespējams, ka skatāties WebView. Galvenais izņēmums no šī noteikuma ir pārlūks Google Chrome operētājsistēmai Android, kas tā vietā izmanto savu renderēšanas motoru, kas iebūvēts lietotnē. (Tas pats attiecas uz dažiem trešo pušu Android pārlūkiem, piemēram, Firefox.)

Vecākajās Android versijās (4.3 un jaunākās versijās) WebView izmanto kodu, kura pamatā ir Apple Webkit - tā pati tehnoloģija, kas atrodas aiz Safari pārlūka. Operētājsistēmā Android 4.4 un jaunākā versijā WebView balstās uz Chromium, Google Chrome atvērtā koda bāzi (kurā tiek izmantots Google Blink dzinējs.). Operētājsistēmā Android 5.0 WebView tika izlauzts kā atsevišķa lietotne, domājams, lai savlaicīgi varētu veikt atjauninājumus, izmantojot pakalpojumu Google Play, nepieprasot izdot programmaparatūras atjauninājumus.

Kas notiek?

Drošības pētnieki no Metasploit, atklājuši vairākus drošības risinājumus Android 4.3 WebView komponentā un iesniedzot tos Google, ir publicējuši e-pastu no [email protected], atklājot, ka Google parasti neveido ielāpus WebView versijām pirms Android 4.4..

Tirdzniecības vietas publicētie e-pasta fragmenti lasāmi:

"Ja skartā versija ir jaunāka par 4.4, mēs parasti paši neizstrādājam ielāpus, bet atzinīgi vērtējam labojumus ar ziņojumu, lai tos izskatītu. Izņemot paziņojumus par oriģinālo iekārtu ražotājiem, mēs nevarēsim rīkoties saistībā ar ziņojumu, kas ietekmē versijas pirms 4.4. nav pievienoti plāksteri."

Kāpēc tas ir slikti?

Kā norāda Metasploit, vairāk nekā 60 procentos aktīvo Android ierīču pašlaik darbojas Jelly Bean (Android 4.1-4.3) vai vecāka versija, potenciāli atstājot tās atvērtas tīmekļa nasties, pārlūkojot WebView. Īpaši satraucoši tie ir operētājsistēmas Android 4.3 un jaunākās versijās, izmantojot ražotāju, piemēram, HTC, Samsung un LG (lai nosauktu tikai trīs), iebūvētās tīmekļa pārlūkprogrammas, kuras WebViews izmanto, lai parādītu saturu no tīmekļa.

Fakts, ka Google aktīvi neveic vecāku WebView ieviešanu labojumus, nozīmē, ka oriģinālo iekārtu ražotājiem ir pašiem jālabo šo saturu.

Android 4.0-4.3 īpašnieki, kas izmanto pārlūkus, kas nav WebView, piemēram, Chrome vai Firefox, netiks pakļauti šīm ievainojamībām, izmantojot izvēlēto tīmekļa pārlūku. Tomēr viņi joprojām var tikt apdraudēti, ja trešās puses lietotnes WebView novirza viņus uz ļaunprātīgu vietni. Tas ir mazāk ticams, nekā regulāras pārlūkošanas laikā saskaroties ar ļaunprātīgu programmatūru, tomēr, ņemot vērā, ka tādas augsta profila lietotnes kā Feedly un Facebook izmanto WebViews, lai parādītu trešo personu saturu, tas nebūt nav neiespējami.

Android platformas versiju numuri mēnesī, kas beidzas 2015. gada 5. janvārī.

Kāpēc tam ir jēga (vai: Android atjaunināšanas realitāte)

Patiesā problēma nav tā, ka Google neatjauninās WebView, bet gan tas, ka tik daudzās ierīcēs joprojām darbojas operētājsistēma Android 4.3 un jaunāka versija.

Ir viegli sajaukt simptomu - WebView ievainojamības - ar galveno cēloni. Patiesā problēma nav tā, ka Google neatjauninās Jelly Bean WebView, bet gan tas, ka tik daudzās ierīcēs joprojām darbojas operētājsistēma Android 4.3 un jaunākas versijas, ar nelielu iespēju atjaunināt tās neatkarīgi no tā, kādas darbības Google varētu veikt. Pat ja Google izdotu plāksterus Jelly Bean WebView kodam (un Ice Cream Sandwich un Gingerbread), lietotāji joprojām gaida OEM (un pārvadātājus), lai izstumtu programmaparatūras atjauninājumus, tāpat kā viņi šodien gaida operētājsistēmā Android 4.4. Un, ja šo ierīču ražotāji vispār sliecas izstumt atjauninājumus, iespējams, ka viņi iestrēdzīs operētājsistēmā Android 4.3 vai vecākā versijā.

Google laboja Jelly Bean tīmekļa skatījuma problēmu pirms vairāk nekā gada. Ielāpi sauc par Android 4.4 KitKat.

- Alekss Dobijs (@alexdobie), 2015. gada 14. janvāris

No Google viedokļa šīs problēmas labojums tika izlaists vairāk nekā pirms gada ar Android 4.4 KitKat parādīšanos. Ideālā pasaulē tas būtu plāksteris, ko OEM piemēro saviem Jelly Bean tālruņiem, un rezultātā neviens vairs nedarbinātu Android 4.3 vai vecāku versiju vairāk nekā gadu pēc tam, kad 4.4 būs pieejams. Diemžēl, neraugoties uz centieniem vairākās frontēs, Android atjauninājumi joprojām ir kaut kas īsts.

Bet ir sudraba oderējums - Google veic pasākumus, lai nodrošinātu WebView labāku labošanu operētājsistēmas Android 5.0 un jaunākās versijās.

Ko tagad?

Tā kā Google neizstrādās ielāpus Jelly Bean WebView, oriģinālās programmatūras ražotājiem ir jāizstrādā un jāizstrādā savi labojumi attiecīgajos tālruņos un planšetdatoros. Ņemot vērā to, ka šīs ierīces jau darbojas diezgan vecā OS versijā, mēs neatvainojamies, lai ražotāji un pārvadātāji varētu kaut ko laicīgi izvietot. Un, lai būtu skaidrs, tas, iespējams, notiks neatkarīgi no tā, vai Google izstrādāja savus Jelly Bean WebView ielāpus vai nē.

Google jau ir veicis pasākumus, lai pārliecinātos, ka WebView Lollipop var būt atjaunināts.

Ja izmantojat operētājsistēmu Android 4.3 vai jaunāku versiju, mēs iesakām pārslēgties uz pārlūku, kas neizmanto WebView, piemēram, Google Chrome vai Mozilla Firefox. Lai aizsargātu sevi citās lietotnēs, kuras izmanto WebViews, vienmēr ir ieteicams instalēt tikai uzticamas lietotnes un, pārlūkojot Web, ievērot galvenos piesardzības pasākumus. Piemēram, Facebook ļauj atspējot iebūvēto pārlūkprogrammu un atvērtās Web saites izvēlētajā pārlūkprogrammā.

Tā kā WebView ir grūti atjaunināma operētājsistēmas Android OS tīmekļa vietne, tā ir acīmredzama mērķauditorija visiem, kas vēlas atrast Android izmantošanas veidus, kas ietekmē lielu skaitu cilvēku un kurus nevar nekavējoties atcelt ar lietotnes atjauninājumu. Tieši tāpēc Google ļāva atjaunināt WebView neatkarīgi no OS operētājsistēmas Android 5.0 un jaunākās versijās. Ja Lollipop WebView tiktu atklātas līdzīgas ievainojamības, Google vienkārši izstumtu atjauninājumu, izmantojot Play veikalu, un veiktu to. Tomēr, ņemot vērā Android raksturu, būs nepieciešams laiks, lai Lollipop kļūtu jebkur tikpat plaši izplatīta kā Jelly Bean. Un tas nozīmē, ka varētu paiet gadi, pirms lielākā daļa Android lietotāju gūst labumu no jaunās, modulārās WebView ieviešanas.