Zrozumienie poprawek bezpieczeństwa dla webview i Androida

Niedawne odkrycie, że Google nie tworzy już poprawek bezpieczeństwa dla komponentu „WebView” Androida w Jelly Bean i wcześniej, ponownie położyła nacisk na bezpieczeństwo Androida i wyzwania związane z zabezpieczeniem około miliarda aktywnych urządzeń. Po raz pierwszy ujawniony przez Metasploit 12 stycznia, stanowisko Google w sprawie aktualizacji tego centralnego komponentu Androida zostało szeroko opisane w kolejnych dniach.

Czym więc dokładnie jest WebView i co Google ma na myśli wobec aktualizacji WebView dla właścicieli urządzeń z Androidem? A jeśli nadal używasz Jelly Bean, co możesz zrobić, aby zminimalizować ryzyko? Przyjrzymy się dokładniej po przerwie.

Na początek: co to jest WebView?

Oglądasz stronę internetową w czymkolwiek poza Chrome? Możliwe, że patrzysz na WebView.

WebView jest częścią systemu operacyjnego Android odpowiedzialną za renderowanie stron internetowych w większości aplikacji na Androida. Jeśli widzisz zawartość internetową w aplikacji na Androida, prawdopodobnie patrzysz na WebView. Głównym wyjątkiem od tej reguły jest Google Chrome na Androida, który zamiast tego korzysta z własnego silnika renderującego wbudowanego w aplikację. (To samo dotyczy niektórych przeglądarek Androida innych firm, takich jak Firefox.)

W starszych wersjach Androida (4.3 i niższych) WebView używa kodu opartego na Webkit firmy Apple - tej samej technologii, co w przeglądarce Safari. W Androidzie 4.4 i nowszych WebView opiera się na Chromium, bazie open source przeglądarki Google Chrome (która korzysta z silnika Google Blink). W Androidzie 5.0 WebView został wydzielony jako osobna aplikacja, prawdopodobnie umożliwiająca terminowe aktualizacje za pośrednictwem Google Play bez konieczności wydawania aktualizacji oprogramowania układowego.

Co się dzieje?

Badacze bezpieczeństwa z Metasploit, po odkryciu kilku exploitów bezpieczeństwa w komponencie WebView Androida 4.3 i przesłaniu ich do Google, opublikowali wiadomość e-mail od [email protected] ujawniającą, że Google zasadniczo nie opracowuje łatek dla wersji WebView wcześniejszych niż Android 4.4.

Fragmenty wiadomości e-mail opublikowane przez punkt sprzedaży brzmią:

„Jeśli wersja, której dotyczy problem, jest wcześniejsza niż 4.4, generalnie nie opracowujemy łatek samodzielnie, ale witamy łatki w raporcie do rozważenia. Poza powiadomieniem producentów OEM nie będziemy mogli podjąć działań w przypadku żadnego raportu, który wpływa na wersje wcześniejsze niż 4.4 nie towarzyszy im łatka ”.

Czemu to jest złe?

Jak wskazuje Metasploit, ponad 60 procent aktywnych urządzeń z Androidem korzysta obecnie z Jelly Bean (Android 4.1-4.3) lub wcześniejszych, co potencjalnie pozostawia je otwarte na internetowe nieprzyjemności podczas przeglądania WebView. Jest to szczególnie niepokojące dla tych z Androidem 4.3 i nowszym korzystających z wbudowanych przeglądarek internetowych producentów takich jak HTC, Samsung i LG (żeby wymienić tylko trzech), którzy używają WebView do wyświetlania treści z sieci.

Fakt, że Google nie aktywnie opracowuje poprawek dla starszych implementacji WebView, oznacza, że ​​producenci sprzętu mogą samodzielnie naprawić te rzeczy.

Właściciele Androida 4.0-4.3 korzystający z przeglądarek innych niż WebView, takich jak Chrome lub Firefox, nie będą narażeni na te luki podczas korzystania z wybranej przeglądarki internetowej. Jednak nadal mogą być narażeni na ryzyko, jeśli WebView aplikacji innej firmy przekieruje je na złośliwą stronę. Jest to mniej prawdopodobne niż napotkanie złośliwego oprogramowania podczas zwykłego przeglądania stron internetowych, jednak biorąc pod uwagę, że znane aplikacje, takie jak Feedly i Facebook, używają WebView do wyświetlania treści stron trzecich, nie jest to niemożliwe.

Numery wersji platformy Android na miesiąc kończący się 5 stycznia 2015 r.

Dlaczego ma to sens (lub: rzeczywistość aktualizacji Androida)

Prawdziwym problemem nie jest to, że Google nie aktualizuje WebView, ale że tak wiele urządzeń nadal działa pod kontrolą Androida 4.3 i niższych.

Łatwo jest pomylić objaw - luki w zabezpieczeniach WebView - z podstawową przyczyną. Prawdziwy problem nie polega na tym, że Google nie zaktualizuje WebView Jelly Bean, ale że na tak wielu urządzeniach nadal działa Android 4.3 i nowsze wersje, z niewielką szansą na aktualizację, niezależnie od tego, jakie działania podejmie Google. Nawet gdyby Google wydało łaty na kod WebView Jelly Bean (oraz Ice Cream Sandwich i Gingerbread), użytkownicy nadal czekaliby na producentów OEM (i przewoźników) na wypchnięcie aktualizacji oprogramowania układowego, tak jak dzisiaj czekają na Androida 4.4. A jeśli producenci tych urządzeń byliby skłonni w ogóle wypychać aktualizacje, są szanse, że nie utkną na Android 4.3 lub wcześniej.

Google naprawiło problem z oglądaniem strony internetowej Jelly Bean ponad rok temu. Łatka nazywa się Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 stycznia 2015 r

Z perspektywy Google poprawkę dotyczącą tego problemu wydano ponad rok temu wraz z pojawieniem się Androida 4.4 KitKat. W idealnym świecie byłaby to łatka, którą OEM zastosują do swoich telefonów Jelly Bean, w wyniku czego nikt nie będzie działał na Androidzie 4.3 lub starszym niż rok po udostępnieniu 4.4. Niestety, pomimo wysiłków na wielu frontach, aktualizacje Androida pozostają czymś w rodzaju bzdury.

Ale jest srebrna podszewka - Google podejmuje kroki w celu ułatwienia łatania WebView w Androidzie 5.0 i nowszych.

Co teraz?

Ponieważ Google nie będzie opracowywać poprawek do WebView Jelly Bean, producenci OEM mogą opracowywać i wdrażać własne poprawki na uszkodzonych telefonach i tabletach. Biorąc pod uwagę, że na tych urządzeniach jest już uruchomiona dość stara wersja systemu operacyjnego, nie wstrzymujemy się z tym, że producenci i przewoźnicy wdrażają cokolwiek na czas. Żeby było jasne, prawdopodobnie tak by było, niezależnie od tego, czy Google opracowało własne łatki Jelly Bean WebView.

Firma Google podjęła już kroki, aby upewnić się, że WebView może być na bieżąco w Lollipop.

Jeśli używasz Androida 4.3 lub starszego, zalecamy przejście do przeglądarki, która nie korzysta z WebView, takiej jak Google Chrome lub Mozilla Firefox. Jeśli chodzi o ochronę siebie w innych aplikacjach korzystających z WebViews, zawsze dobrze jest instalować tylko zaufane aplikacje i zachować podstawowe środki ostrożności podczas przeglądania sieci. Na przykład Facebook umożliwia wyłączenie wbudowanej przeglądarki i otwieranie łączy internetowych w wybranej przeglądarce.

Jako część systemu operacyjnego Android, która jest trudna do aktualizacji, WebView jest oczywistym celem dla każdego, kto chce znaleźć exploity na Androida, które wpływają na dużą liczbę osób i których nie można natychmiast unieważnić przez aktualizację aplikacji. Z pewnością dlatego Google umożliwiło aktualizację WebView niezależnie od systemu operacyjnego w Androidzie 5.0 i nowszych. Jeśli podobne luki zostaną wykryte w WebView Lollipopa, Google po prostu wypuści aktualizację za pośrednictwem Play Store i gotowe. Jednak ze względu na naturę Androida Lollipop zajmie trochę czasu tak powszechne jak Jelly Bean. A to oznacza, że ​​minie wiele lat, zanim większość użytkowników Androida będzie mogła skorzystać z nowej, modułowej implementacji WebView.