Розуміння патчів безпеки веб-перегляду та андроїд

Нещодавнє відкриття, що Google більше не розробляє виправлення безпеки для компонента "WebView" Android в Jelly Bean, і раніше вкотре зосереджує увагу на безпеці Android, а також на проблемах, пов’язаних із забезпеченням мільярду чи більше активних пристроїв. Вперше розкрито Metasploit 12 січня, про позицію Google щодо оновлення цього центрального компонента Android широко повідомлялося в наступні дні.

Отже, що саме таке WebView і що означає позиція Google щодо оновлень WebView для власників пристроїв Android? А якщо ви все ще керуєте Jelly Bean, що ви можете зробити, щоб зменшити ризик? Ми детально розглянемо після перерви.

Перш за все: що таке WebView?

Переглядаєте веб-сторінку в будь-якому, крім Chrome? Можливо, ви дивитесь на WebView.

WebView - це частина ОС Android, яка відповідає за візуалізацію веб-сторінок у більшості програм Android. Якщо ви бачите веб-вміст у додатку для Android, швидше за все, ви переглядаєте WebView. Основним винятком із цього правила є Google Chrome для Android, який замість цього використовує власну систему візуалізації, вбудовану в додаток. (Те саме стосується сторонніх веб-переглядачів Android, таких як Firefox.)

У старих версіях Android (4.3 і вище) WebView використовує код, заснований на Webkit Apple - той самий технік, що стоїть за браузером Safari. В Android 4.4 і вище веб-переглядач WebView базується на Chromium, відкритій базі Google Chrome (яка використовує двигун Blink Google). В Android 5.0 WebView було розроблено як окремий додаток, імовірно, щоб дозволити своєчасне оновлення через Google Play, не вимагаючи оновлення прошивки.

Що відбувається?

Дослідники з безпеки компанії Metasploit, виявивши декілька подвигів безпеки в компоненті WebView Android 4.3 та подавши їх в Google, опублікували електронний лист із безпеки@android.com, в якому видно, що Google, як правило, не розробляє патчі для версій WebView до Android 4.4..

Уривки електронної пошти, опубліковані в торговій точці:

"Якщо версія, що стосується, до 4.4, ми, як правило, не розробляємо самі патчі, але вітаємо виправлення із звітом для розгляду. Окрім сповіщення оригіналів виробників, ми не зможемо вжити жодних звітів, які стосуються версій до 4.4. не супроводжуються патчем ".

Чому це погано?

Як зазначає Metasploit, більше 60 відсотків активних пристроїв Android зараз працюють з Jelly Bean (Android 4.1-4.3) або раніше, що, можливо, залишає їх відкритими для веб-базі даних під час перегляду WebView. Це особливо хвилює тих, хто працює на Android 4.3 і нижче, використовуючи вбудовані веб-браузери від таких виробників, як HTC, Samsung та LG (якщо не тільки три), які використовують WebViews для відображення вмісту з Інтернету.

Той факт, що Google активно не розробляє виправлення для старих впроваджень WebView, означає, що до OEM-виробників потрібно самостійно виправити цей матеріал.

Власники Android 4.0-4.3, які використовують веб-переглядачі, які не належать WebView, як-от Chrome чи Firefox, не будуть піддаватися цим уразливим положенням при використанні веб-браузера на вибір. Однак вони все ще можуть загрожувати, якщо WebView сторонньої програми перенаправить їх на шкідливий сайт. Це менш ймовірно, ніж натрапляння на зловмисне програмне забезпечення під час регулярного перегляду веб-сторінок, однак, враховуючи, що високопрофільні додатки, такі як Feedly та Facebook, використовують WebViews для відображення стороннього вмісту, це далеко не можливо.

Номери версій платформи Android за місяць, що закінчується 5 січня 2015 року.

Чому це має сенс (або: реальність оновлення Android)

Справжня проблема полягає не в тому, що Google не оновлює WebView, а в тому, що стільки пристроїв все ще працюють на Android 4.3 і нижче.

Легко сплутати симптом - вразливості WebView - з першопричиною. Справжня проблема полягає не в тому, що Google не оновлює WebView Jelly Bean, а в тому, що стільки пристроїв все ще працюють під керуванням Android 4.3 і нижче, але з невеликою перспективою оновлення незалежно від того, які дії Google може вжити. Навіть якби Google випускала патчі для коду WebView Jelly Bean (і Sandwich's Ice Cream, і Gingerbread's), користувачі все одно будуть чекати від OEM-виробників (та операторів), щоб витіснити оновлення мікропрограмного забезпечення, як і сьогодні на Android 4.4. І якби виробники цих пристроїв були схильні взагалі витісняти оновлення, швидше за все, вони не застрягли б на Android 4.3 або раніше.

Google вирішив проблему веб-перегляду Jelly Bean більше року тому. Патч називається Android 4.4 KitKat.

- Алекс Добі (@alexdobie) 14 січня 2015 року

З точки зору Google, виправлення цієї проблеми було випущено більше року тому з приходом Android 4.4 KitKat. В ідеальному світі це були б патч-оригінали, застосовані до їх телефонів Jelly Bean, і в результаті ніхто не запускав Android 4.3 або менше більше року після того, як 4.4 стали доступні. На жаль, незважаючи на зусилля на декількох фронтах, оновлення Android залишається чимось непоганим.

Але є срібляста підкладка - Google вживає заходів для того, щоб WebView простіше зафіксувати в Android 5.0 та новіших версіях.

Що тепер?

Оскільки Google не розробляє патчі для веб-перегляду Jelly Bean, розробникам та розробці власних виправлень на постраждалих телефонах та планшетах доводиться виробникам оригіналів. Зважаючи на те, що на цих пристроях вже працює досить стара версія ОС, ми не затримуємо дихання, щоб виробники та оператори вчасно щось розгортали. І щоб було зрозуміло, це, мабуть, буде так, незалежно від того, розробила Google власні патчі Jelly Bean WebView чи ні.

Google уже вжив заходів для того, щоб переконатися, що WebView може бути в курсі останніх днів у Lollipop.

Якщо ви маєте ОС Android 4.3 або новішої версії, радимо перейти на веб-переглядач, який не використовує WebView, наприклад Google Chrome або Mozilla Firefox. Що стосується захисту себе в інших додатках, які використовують WebViews, завжди корисно встановлювати лише ті програми, яким ви довіряєте, та вживати основних заходів безпеки під час перегляду Інтернету. Наприклад, Facebook дозволяє вимкнути вбудований веб-переглядач та відкрити веб-посилання у вашому веб-переглядачі.

Оскільки веб-частина ОС Android, яку важко оновити, веб-сторінка є очевидною ціллю для всіх, хто хоче знайти подвиги Android, які впливають на велику кількість людей, і які не можуть бути негайно скасовані анулюванням оновленням додатків. Ось, напевно, Google дав можливість оновлювати WebView незалежно від ОС в Android 5.0 та новіших версіях. Якщо подібні вразливості були виявлені в веб-перегляді Lollipop, Google просто виштовхне оновлення через Play Store і зробить це з ним. Однак через природу Android, Lollipop стане потрібним часом, щоб стати в будь-якому місці, настільки ж поширеним, як Jelly Bean. А це означає, що через нову модульну реалізацію WebView може пройти роки, коли більшість користувачів Android отримають користь.