Razumevanje varnostnih popravkov spletnega pogleda in androida

Nedavno razkritje, da Google ne razvija več varnostnih popravkov za komponento »WebView« Android v Jelly Bean in je že prej osvetlil varnost Android in izzive, povezane z zagotavljanjem milijarde ali tako aktivnih naprav. Kot je prvič razkril Metasploit 12. januarja, je Googlovo stališče o posodobitvi te osrednje komponente Android v naslednjih dneh veliko poročalo.

Torej, kaj točno je WebView in kaj pomeni stališče Googla do posodobitev WebView za lastnike naprav Android? In če še vedno vodite Jelly Bean, kaj lahko storite, da zmanjšate tveganje? Po odmoru si bomo podrobno ogledali.

Najprej: Kaj je WebView?

Ogledate si spletno stran v nečem drugem kot Chrome? Verjetno gledate v WebView.

WebView je del sistema OS Android, ki je odgovoren za upodabljanje spletnih strani v večini aplikacij za Android. Če v aplikaciji za Android vidite spletno vsebino, verjetno gledate v WebView. Glavna izjema od tega pravila je Google Chrome za Android, ki namesto tega uporablja svoj mehanizem upodabljanja, vgrajen v aplikacijo. (Enako velja za nekatere druge brskalnike Android, kot je Firefox.)

V starejših različicah Androida (4.3 in novejše) WebView uporablja kodo, ki temelji na Applovem Webkitu - isti tehnologiji za brskalnikom Safari. V Androidu 4.4 in novejših različicah WebView temelji na Chromiumu, odprtokodni bazi Google Chrome (ki uporablja Googlov mehanizem Blink). V Android 5.0 je bil WebView razdeljen kot ločena aplikacija, predvidoma za omogočanje pravočasnih posodobitev prek Google Play, ne da bi bilo treba izdati posodobitve vdelane programske opreme.

Kaj se dogaja?

Varnostni raziskovalci iz Metasploita so, potem ko so odkrili več varnostnih podvigov v komponenti WebView Android 4.3 in jih poslali Googlu, objavili e-poštno sporočilo od [email protected], v katerem razkrivajo, da Google na splošno ne razvija popravkov za različice WebView pred Androidom 4.4.

Odlomki e-pošte, ki jih je objavila prodajna mreža, so se glasili:

"Če je zadevna različica pred 4.4, obliži ponavadi ne razvijemo sami, vendar pozdravljamo popravke s poročilom v obravnavo. Razen priglaševanja originalnih proizvajalcev ne bomo mogli ukrepati za nobeno poročilo, ki vpliva na različice pred 4.4. jih ne spremlja obliž."

Zakaj je slabo?

Kot opozarja Metasploit, trenutno več kot 60 odstotkov aktivnih naprav Android deluje Jelly Bean (Android 4.1-4.3) ali starejše, kar jih lahko brska po spletnih brskalnikih, ko brskajo po WebView. To je še posebej zaskrbljujoče za tiste, ki uporabljajo Android 4.3 in manj, če uporabljajo vgrajene spletne brskalnike proizvajalcev, kot so HTC, Samsung in LG (če jih naštejemo samo tri), ki WebView uporabljajo za prikaz vsebine iz spleta.

Dejstvo, da Google ne razvija aktivno popravkov za starejše implementacije WebView, pomeni, da morajo proizvajalci sami popraviti te stvari.

Lastniki Android 4.0-4.3, ki uporabljajo brskalnike, ki niso WebView, kot sta Chrome ali Firefox, ne bodo izpostavljeni tem ranljivostim, če uporabljajo svoj spletni brskalnik. Kljub temu bi lahko še vedno bili v nevarnosti, če jih WebView aplikacije tretjih strank usmeri na zlonamerno spletno mesto. To je manj verjetno kot nalet na zlonamerno programsko opremo med rednim brskanjem po spletu, vendar glede na to, da odmevne aplikacije, kot sta Feedly in Facebook, uporabljajo WebView za prikaz vsebin drugih proizvajalcev, še zdaleč ni nemogoče.

Številke različice platforme Android za mesec, ki se konča 5. januarja 2015.

Zakaj je nekako smiselno (ali: resničnost posodabljanja Androida)

Prava težava ni v tem, da Google ne bo posodobil WebView, ampak da toliko naprav še vedno deluje z operacijskim sistemom Android 4.3 in novejšim.

Simptom - ranljivosti WebView - je enostavno zamenjati s temeljnim vzrokom. Resnična težava ni v tem, da Google ne bo posodobil WebView Jelly Bean, ampak da toliko naprav še vedno deluje z operacijskim sistemom Android 4.3 in novejšim, kar je malo možnosti, da se posodobi, ne glede na to, kaj Google lahko sprejme. Tudi če bi Google izdal popravke za kodo WebView Jelly Bean (in Ice Cream Sandwich's, Gingerbread's), bi uporabniki še vedno čakali, da bodo proizvajalci originalne opreme (in ponudniki) izvlekli posodobitve strojne programske opreme, tako kot danes čakajo na Android 4.4. In če bi bili proizvajalci teh naprav nagnjeni k temu, da posodobitve sploh izvlečejo, obstaja velika verjetnost, da se v Android 4.3 ali prej ne bi zataknili.

Google je pred več kot enim letom odpravil težavo s spletnim ogledom Jelly Bean. Obliž se imenuje Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14. januarja 2015

Z Googlove perspektive je bil popravek te izdaje objavljen pred več kot letom dni s prihodom Android 4.4 KitKat. V idealnem svetu bi to bili popravki originalnih proizvajalcev, ki so veljali za njihove telefone Jelly Bean, in posledično nihče ne bo imel Android 4.3 ali manj kot eno leto, potem ko je na voljo 4.4. Kljub prizadevanjem na več frontah posodobitve za Android ostajajo nekaj hudega.

Vendar obstaja srebrna podloga - Google sprejema ukrepe za zagotovitev, da je WebView lažje zalepiti v Androidu 5.0 in novejših.

Kaj zdaj?

Ker Google ne bo razvijal popravkov spletnega pogleda Jelly Bean, je od proizvajalcev originalnih izdelkov, da razvijejo in uvedejo svoje popravke na prizadete telefone in tablične računalnike. Glede na to, da te naprave že uporabljajo precej staro različico OS-a, proizvajalci in prevozniki ne zadržujemo diha, da bi karkoli pravočasno uvedli. In da bi bilo jasno, bi bilo verjetno tako, ne glede na to, ali je Google razvil lastne obliže Jelly Bean WebView ali ne.

Google je že sprejel ukrepe za zagotovitev, da lahko WebView ostane na tekočem v Lollipopu.

Če uporabljate Android 4.3 ali novejši, priporočamo, da preklopite na brskalnik, ki ne uporablja WebView, kot sta Google Chrome ali Mozilla Firefox. Kar se tiče zaščite v drugih aplikacijah, ki uporabljajo WebViews, je vedno dobro, da med brskanjem po spletu namestite le aplikacije, ki jim zaupate, in upoštevate osnovne varnostne ukrepe. Facebook na primer omogoča onemogočanje njegovega vgrajenega brskalnika in odpiranje spletnih povezav v vašem brskalniku, ki ga izberete.

Kot del spletnega sistema Android OS, ki ga je težko posodobiti, je WebView očiten cilj za vse, ki želijo najti podvige Android, ki prizadenejo veliko ljudi, in jih posodobitev aplikacije ne more takoj razveljaviti. Prav gotovo je Google zato omogočil posodobitev WebView neodvisno od operacijskega sistema Android v sistemu Android 5.0 in novejših. Če bi podobne ranljivosti odkrili v spletnem pogledu Lollipop, bi Google preprosto pospravil posodobitev prek Trgovine Play in z njo storil. Vendar pa bo zaradi narave Androida potrebno nekaj časa, da postane Lollipop tako blizu, kot je Jelly Bean. In to pomeni, da bo lahko minilo več let, preden bo večina uporabnikov Androida izkoristila novo, modularno implementacijo WebView.