Forståelse af webview og android-sikkerhedsrettelser

En nylig åbenbaring om, at Google ikke længere udvikler sikkerhedsrettelser til "WebView" -komponenten i Android i Jelly Bean og tidligere, har igen sat fokus på Android-sikkerhed og udfordringerne med at sikre den ene milliard eller så aktive enheder. Først afsløret af Metasploit den 12. januar, Googles holdning til opdatering af denne centrale Android-komponent er blevet rapporteret bredt i de følgende dage.

Så hvad er WebView nøjagtigt, og hvad betyder Googles holdning til WebView-opdateringer for ejere af Android-enheder? Og hvis du stadig kører Jelly Bean, hvad kan du gøre for at efterligne risikoen? Vi ser nærmere på pausen.

Første ting først: Hvad er WebView?

Ser du en webside i noget andet end Chrome? Chancerne er, at du ser på en WebView.

WebView er den del af Android OS, der er ansvarlig for gengivelse af websider i de fleste Android-apps. Hvis du ser webindhold i en Android-app, er chancerne for, at du ser på en WebView. Den største undtagelse fra denne regel er Google Chrome til Android, der i stedet bruger sin egen gengivelsesmotor, indbygget i appen. (Det samme gælder for nogle tredjeparts Android-browsere som Firefox.)

I ældre versioner af Android (4.3 og nyere) bruger WebView kode baseret på Apples Webkit - den samme teknik bag Safari-browseren. I Android 4.4 og nyere er WebView baseret på Chromium, open source-basen i Google Chrome (der bruger Googles Blink-motor.). I Android 5.0 blev WebView bragt ud som en separat app, formodentlig for at tillade rettidige opdateringer gennem Google Play uden at kræve, at firmwareopdateringer blev udstedt.

Hvad sker der?

Efter at have opdaget flere sikkerhedsudnyttelser i Android 4.3's WebView-komponent og sendt dem til Google har sikkerhedsforskere fra Metasploit offentliggjort en e-mail fra [email protected], der afslører, at Google generelt ikke udvikler programrettelser til pre-Android 4.4-versioner af WebView.

E-mail-uddragene, der er offentliggjort af forretningen, lyder:

"Hvis den berørte version er før 4.4, udvikler vi generelt ikke patches selv, men glæder os over patches med rapporten til overvejelse. Bortset fra at give besked til OEM'er, vil vi ikke være i stand til at gribe ind over for nogen rapport, der berører versionerne før 4.4, er ikke ledsaget af en opdatering."

Hvorfor er det dårligt?

Som Metasploit påpeger, kører mere end 60 procent af aktive Android-enheder i øjeblikket Jelly Bean (Android 4.1-4.3) eller tidligere, hvilket muligvis giver dem åbne for webbaserede nasties, når de gennemser en WebView. Dette er især foruroligende for dem på Android 4.3 og nyere, der bruger indbyggede webbrowsere fra producenter som HTC, Samsung og LG (for kun at nævne tre), der bruger WebViews til at vise indhold fra nettet.

Det faktum, at Google ikke aktivt udvikler rettelser til ældre WebView-implementeringer, betyder det, at det er op til OEM'er at lappe disse ting på egen hånd.

Android 4.0-4.3-ejere, der bruger browsere, der ikke er WebView, som Chrome eller Firefox, udsættes ikke for disse sårbarheder, når de bruger deres valgte browser. De kan dog stadig være i fare, hvis en tredjeparts app's WebView leder dem til et ondsindet websted. Dette er mindre sandsynligt end at løbe ind i malware i løbet af regelmæssig webbrowsing, men i betragtning af at højprofilerede apps som Feedly og Facebook bruger WebViews til at vise indhold fra tredjepart, er det langt fra umuligt.

Android-platformversionsnumre for måneden, der slutter den 5. januar 2015.

Hvorfor det slags giver mening (eller: virkeligheden med at opdatere Android)

Det virkelige problem er ikke, at Google ikke opdaterer WebView, men at så mange enheder stadig kører Android 4.3 og nyere.

Det er let at forveksle symptomet - WebView-sårbarheder - med den grundlæggende årsag. Det virkelige problem er ikke, at Google ikke opdaterer Jelly Bean's WebView, men at så mange enheder stadig kører Android 4.3 og nyere med lidt udsigt til at blive opdateret, uanset hvilken handling Google må tage. Selv hvis Google skulle udstede programrettelser til Jelly Bean's WebView-kode (og Ice Cream Sandwich's og Gingerbread's), ville brugerne stadig vente på OEMs (og luftfartsselskaber) for at skubbe firmwareopdateringer, ligesom de venter på Android 4.4 i dag. Og hvis producenterne af disse enheder overhovedet var tilbøjelige til at skubbe opdateringer ud, er chancerne for, at de ikke ville sidde fast på Android 4.3 eller tidligere til at begynde med.

Google fik løst problemet med Jelly Bean webview for over et år siden. Opdateringen kaldes Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14. januar 2015

Fra Googles perspektiv blev løsningen til dette nummer frigivet for mere end et år siden med ankomsten af ​​Android 4.4 KitKat. I en ideel verden ville det være de patch-OEM'er, der blev anvendt på deres Jelly Bean-telefoner, og som et resultat ville ingen køre Android 4.3 eller mere end et år efter, at 4.4 blev tilgængelig. Trods indsats på flere fronter er Android-opdateringer desværre noget af en crapshoot.

Men der er en sølvforing - Googles tager skridt for at sikre, at WebView er lettere at lappe i Android 5.0 og nyere.

Hvad nu?

Da Google ikke udvikler programrettelser til Jelly Bean's WebView, er det op til OEMs at udvikle og rulle deres egne rettelser på de berørte telefoner og tablets. I betragtning af at disse enheder allerede kører en ret gammel version af operativsystemet, holder vi ikke vejret for, at producenter og luftfartsselskaber kan installere noget rettidigt. Og for at være klar ville det sandsynligvis være tilfældet, uanset om Google udviklede sine egne Jelly Bean WebView-patches eller ej.

Googles allerede tagede skridt for at sikre, at WebView kan holde sig ajour i Lollipop.

Hvis du kører Android 4.3 eller nyere, vil vi anbefale at skifte til en browser, der ikke bruger WebView, f.eks. Google Chrome eller Mozilla Firefox. Hvad angår at beskytte dig selv i andre apps, der bruger WebViews, er det altid en god ide at kun installere apps, du har tillid til, og tage grundlæggende forholdsregler, når du surfer på nettet. Med Facebook kan du for eksempel deaktivere den indbyggede browser og åbne weblinker i den valgte browser.

Som en webvendt del af Android OS, der er svær at opdatere, er WebView et oplagt mål for alle, der ønsker at finde Android-udnyttelser, der berører et stort antal mennesker, og som ikke umiddelbart kan annulleres af en appopdatering. Det er helt sikkert, hvorfor Google har gjort det muligt at opdatere WebView uafhængigt af operativsystemet i Android 5.0 og nyere. Hvis lignende sårbarheder blev opdaget i Lollipops WebView, ville Google ganske enkelt skubbe en opdatering gennem Play Store og være færdig med det. På grund af Android-karakteren vil det dog tage tid, før Lollipop bliver overalt nær så udbredt som Jelly Bean. Og det betyder, at det kan gå år, før flertallet af Android-brugere drager fordel af den nye, modulære WebView-implementering.