A webes és az Android biztonsági javítások megértése

Az a közelmúltban tapasztalható kijelentés, hogy a Google a Jelly Beanben nem fejleszti tovább az Android „WebView” összetevőjére vonatkozó biztonsági javításokat, és korábban ismét figyelmet fordított az Android biztonságára és a körülbelül egymilliárd aktív eszköz biztosításával kapcsolatos kihívásokra. Az első, január 12-én a Metasploit felfedte, a következő napokban széles körben beszámoltak a Google ezen központi Android-összetevő frissítésével kapcsolatos álláspontjáról.

Tehát mi is pontosan a WebView, és mit jelent a Google WebView-frissítésekkel kapcsolatos álláspontja az Android-eszközök tulajdonosai számára? És ha még mindig Jelly Bean-t futsz, mit tehetsz a kockázat utánozására? A szünet után részletesen áttekintjük.

Először az első: mi a WebView?

Megnéz egy weboldalt a Chrome-on kívül bárhol? Valószínűleg egy WebView-ot keres.

A WebView az Android operációs rendszer azon része, amely a legtöbb Android-alkalmazás webhelyének megjelenítéséért felel. Ha webes tartalmat lát egy Android-alkalmazásban, akkor valószínűleg egy WebView-ot keres. E szabály fő kivétele a Google Chrome az Android számára, amely ehelyett a saját megjelenítő motorját használja, amelyet az alkalmazásba épített be. (Ugyanez vonatkozik néhány harmadik féltől származó Android böngészőre, például a Firefoxra.)

Az Android régebbi verzióiban (4.3 és későbbi) a WebView az Apple Webkit alapú kódot használja - ugyanaz a technológia a Safari böngésző mögött. Az Android 4.4 és újabb verziói esetén a WebView a Chromiumon alapul, a Google Chrome nyílt forrású alapján (amely a Google Blink motorját használja). Az Android 5.0 rendszerben a WebView külön alkalmazásként történt, feltehetően annak érdekében, hogy a Google Playen időben frissítsék a firmware frissítéseit.

Mi történik?

A Metasploit biztonsági kutatói, miután felfedezték az Android 4.3 WebView komponensében számos biztonsági kihasználást és beküldték azokat a Google-nak, közzétettek egy e-mailt a [email protected] címről, amelyben kiderül, hogy a Google általában nem fejleszt javításokat a WebView Android 4.4 előtti verzióira.

Az outlet által közzétett e-mail kivonatok:

"Ha az érintett verzió 4.4-nél korábbi, általában nem fejlesztjük ki a javításokat, hanem üdvözöljük a javításokat, amelyek figyelembe veszik a jelentést. Az OEM-ek értesítésén kívül nem tudunk lépéseket tenni egyetlen olyan jelentésnél sem, amely a 4.4-nél korábbi verziót érinti, nem kísérte a javítást."

Miért rossz?

Amint a Metasploit rámutat, az aktív Android-eszközök több mint 60% -a jelenleg Jelly Bean-t (Android 4.1-4.3) vagy korábbi verziót futtat, potenciálisan nyitva hagyva őket a webalapú macskák számára, amikor egy WebView-n böngésznek. Ez különösen aggasztó azok számára, akik Android 4.3-nál vagy újabb verziókban használnak olyan gyártók beépített webböngészőit, mint például a HTC, a Samsung és az LG (csak három névre hivatkoznak), amelyek a WebViews eszközt jelenítik meg az internetről.

Az a tény, hogy a Google nem fejleszti aktívan a javításokat a WebView régebbi megvalósításaiban, azt jelenti, hogy az eredeti gyártóknak saját maguknak kell megjavítaniuk ezeket a dolgokat.

A nem WebView böngészőket (például a Chrome vagy a Firefox) használó Android 4.0-4.3 tulajdonosok nem lesznek kitéve ezeknek a biztonsági réseknek, ha a választott böngészőt használják. Ennek ellenére továbbra is veszélyben lehetnek, ha egy harmadik féltől származó alkalmazás WebView egy rosszindulatú webhelyre irányítja őket. Ez kevésbé valószínű, mint ha rosszindulatú szoftvereket futtatna a rendszeres böngészés során, azonban mivel olyan magas profilú alkalmazások, mint például a Feedly és a Facebook a WebViews programot használják harmadik felek tartalmának megjelenítéséhez, ez messze nem lehetetlen.

Az Android platform verziószámai a 2015. január 5-ével záruló hónapra.

Miért van értelme (vagy: az Android frissítésének valósága)

Az igazi probléma nem az, hogy a Google nem frissíti a WebView alkalmazást, hanem az, hogy nagyon sok eszköz továbbra is az Android 4.3 és az újabb rendszert futtatja.

Könnyű összekeverni a tünet - WebView sebezhetőség - alapvető okát. Az igazi probléma nem az, hogy a Google nem frissíti a Jelly Bean WebView-ját, hanem az, hogy sok eszköz továbbra is az Android 4.3-as vagy újabb verziót futtatja, kevés frissítési esélye van, függetlenül attól, hogy a Google milyen intézkedéseket hoz. Még ha a Google javításokat is kiadna Jelly Bean WebView kódjára (valamint Ice Cream Sandwich és Gingerbread kódjaira), a felhasználók továbbra is várják az OEM-eket (és a szállítókat) a firmware frissítések megjelentetésére, ugyanúgy, mint ma az Android 4.4-re várnak. És ha ezeknek az eszközöknek a gyártói hajlamosak egyáltalán megjeleníteni a frissítéseket, akkor valószínű, hogy kezdetben nem ragadnak meg az Android 4.3 vagy korábbi verziójára.

A Google több mint egy éve javította a Jelly Bean webes megjelenési problémáját. A javítás neve Android 4.4 KitKat.

- Alex Dobie (@alexdobie), 2015. január 14

A Google szempontjából a probléma javítását több mint egy évvel ezelőtt kiadták az Android 4.4 KitKat megjelenésével. Ideális világban ez lenne az a javítókészülék-gyártó, amelyet a Jelly Bean telefonjaira alkalmaztak, és ennek eredményeként senki sem fogja futtatni az Android 4.3-at vagy annál kevesebbet egy éven belül, miután a 4.4 elérhetővé vált. Sajnos, a több fronton tett erőfeszítések ellenére, az Android frissítései hiábavalók maradnak.

De van egy ezüst bélés - a Google lépéseket tesz annak érdekében, hogy a WebView könnyebben javítható legyen az Android 5.0 és újabb verzióiban.

És most?

Mivel a Google nem fog javításokat fejleszteni a Jelly Bean WebView oldalán, az eredeti gyártók feladata, hogy fejlesszék és bevezetjék saját javításaikat az érintett telefonokon és táblagépekön. Tekintettel arra, hogy ezek az eszközök már az operációs rendszer meglehetősen régi verzióját futtatják, nem várjuk meg a lélegzetünket, hogy a gyártók és a szállítmányozók bármit időben telepítsenek. És egyértelmű, hogy ez valószínűleg így lenne, függetlenül attól, hogy a Google kifejlesztette-e saját Jelly Bean WebView javításait vagy sem.

A Google már tett lépéseket annak érdekében, hogy a WebView naprakész maradjon a Lollipopban.

Ha Android 4.3 vagy régebbi verziót futtat, akkor azt javasoljuk, hogy váltson olyan böngészőre, amely nem használja a WebView alkalmazást, például a Google Chrome vagy a Mozilla Firefox. Ami a WebViews alkalmazást használó más alkalmazások védelmét illeti, mindig jó ötlet, ha csak a megbízható alkalmazásokat telepítik, és az alapvető óvintézkedéseket tesznek az internetes böngészés során. A Facebook például lehetővé teszi a beépített böngésző letiltását, és megnyithatja a webes linkeket a választott böngészőben.

Mivel az Android operációs rendszer weboldali része, amelyet nehéz frissíteni, a WebView egyértelmű célpont mindenkinek, aki olyan Android-kihasználásokat szeretne találni, amelyek nagyszámú embert érintnek, és amelyeket nem lehet azonnal megsemmisíteni egy alkalmazásfrissítéssel. Ezért a Google tette lehetővé a WebView frissítését az operációs rendszertől függetlenül az Android 5.0-s vagy újabb verzióiban. Ha hasonló sebezhetőségeket fedeznének fel a Lollipop WebView-ban, a Google egyszerűen kiadja a frissítést a Play Áruházban, és ezzel megteszi. Az Android jellegéből adódóan időbe telik, míg a Lollipop bárhol olyan széles körben elterjedt, mint a Jelly Bean. És ez azt jelenti, hogy évek eltelte után az Android-felhasználók többsége élvezheti az új, moduláris WebView implementációt.