Web-katselun ja android-tietoturvakorjausten ymmärtäminen

Äskettäinen ilmoitus, jonka mukaan Google ei enää kehitä tietoturvakorjauksia Androidin "WebView" -komponenttiin Jelly Beanissa, on aikaisemmin jälleen kerran korostanut Android-tietoturvan ja noin miljardin aktiivisen laitteen turvaamiseen liittyviä haasteita. Ensimmäisen kerran Metasploitin paljastama 12. tammikuuta, Googlen asenne tämän Android-keskuskomponentin päivittämiseen on ilmoitettu laajalti seuraavina päivinä.

Mikä siis on WebView ja mitä Googlen kanta WebView-päivityksiin tarkoittaa Android-laitteiden omistajille? Ja jos käytät edelleen Jelly Beania, mitä voit tehdä riskin jäljittelemiseksi? Otamme yksityiskohtaisen kuvan tauon jälkeen.

Ensin ensin: mikä on WebView?

Katsotko verkkosivua muussa kuin Chromessa? Todennäköisesti katsot WebView-kuvaketta.

WebView on osa Android-käyttöjärjestelmää, joka vastaa verkkosivujen renderoinnista useimmissa Android-sovelluksissa. Jos näet verkkosisältöä Android-sovelluksessa, todennäköisesti etsit WebView-kuvaketta. Suurin poikkeus tästä säännöstä on Google Chrome Androidille, joka käyttää sen sijaan omaa sovellukseen sisäänrakennettua renderointimoottoria. (Sama koskee joitain kolmansien osapuolien Android-selaimia, kuten Firefox.)

Vanhemmissa Android-versioissa (4.3 ja uudemmat) WebView käyttää Applen Webkit-pohjaista koodia - samaa tekniikkaa Safari-selaimen takana. Android 4.4: ssä tai uudemmassa WebView perustuu Chromiumiin, joka on Google Chromen avoimen lähdekoodin perusta (joka käyttää Googlen Blink-moottoria.). Android 5.0: ssa WebView erotettiin erillisenä sovelluksena, oletettavasti salliaksesi päivitykset ajoissa Google Playn kautta ilman, että laiteohjelmistopäivityksiä annettaisiin.

Mitä tapahtuu?

Kun Metasploitin tietoturvatutkijat ovat löytäneet useita tietoturvahyötyjä Android 4.3: n WebView-komponentissa ja toimittaneet ne Googlelle, ovat julkaissut sähköpostin osoitteesta [email protected] paljastaen, että Google ei yleensä kehitä korjaustiedostoja WebView-version 4.4 edeltäville Android-versioille..

Verkkokaupan julkaisemia sähköposti-otteita luetaan:

"Jos asiaankuuluva versio on ennen 4.4, emme yleensä kehitä itse korjaustiedostoja, mutta pidämme tervetulleina korjauksia, joissa raportti otetaan huomioon. Muita kuin alkuperäisten valmistajien ilmoittamista varten emme voi ryhtyä toimiin mihinkään raporttiin, joka vaikuttaa ennen 4.4 oleviin versioihin, että ei ole mukana laastarilla."

Miksi se on huono?

Kuten Metasploit huomauttaa, yli 60 prosentilla aktiivisista Android-laitteista on tällä hetkellä Jelly Bean (Android 4.1-4.3) tai aiempi, jolloin ne voivat mahdollisesti olla avoinna verkkopohjaisille nastikoille WebView-selauksessa. Tämä on erityisen huolestuttavaa Android 4.3: n ja sitä vanhempien käyttäjille, jotka käyttävät valmistajien, kuten HTC, Samsung ja LG (vain kolme), sisäänrakennettuja selaimia, jotka käyttävät WebView-sovelluksia Webin sisällön näyttämiseen.

Se, että Google ei kehitä aktiivisesti korjauksia vanhemmille WebView-toteutuksille, tarkoittaa, että valmistajien on itse korjattava nämä jutut.

Muiden kuin WebView-selainten, kuten Chromen tai Firefoxin, käyttävät Android 4.0-4.3 -käyttäjät eivät altistu näille haavoittuvuuksille valitsemansa Web-selainta käytettäessä. Ne voivat kuitenkin olla vaarassa, jos kolmannen osapuolen sovelluksen WebView ohjaa heidät haitalliselle sivustolle. Tämä on epätodennäköisempää kuin haittaohjelmien joutuminen säännöllisen selauksen aikana, mutta kun otetaan huomioon, että korkean profiilin sovellukset, kuten Feedly ja Facebook, käyttävät WebViews-ohjelmia kolmansien osapuolien sisällön näyttämiseen, se ei ole kaukana mahdottomasta.

Android-käyttöjärjestelmän versionumerot 5. tammikuuta 2015 päättyvälle kuukaudelle.

Miksi se on järkevää (tai: Androidin päivityksen todellisuus)

Todellinen ongelma ei ole se, että Google ei päivitä WebView: ta, vaan että niin monet laitteet käyttävät edelleen Android 4.3: a tai sitä uudempaa.

On helppo sekoittaa oire - WebView-haavoittuvuudet - perussyyn kanssa. Todellinen ongelma ei ole se, että Google ei päivitä Jelly Beanin WebView-sovellusta, vaan se, että niin monet laitteet käyttävät edelleen Android 4.3: a tai sitä uudempaa versiota, ja päivitysmahdollisuudet ovat vähäiset riippumatta Googlen mahdollisista toimista. Vaikka Google antaisi korjauksia Jelly Beanin WebView-koodille (ja Ice Cream Sandwich- ja Gingerbread-koodille), käyttäjät odottavat edelleen OEM-valmistajia (ja operaattoreita) asettamaan laiteohjelmistopäivitykset aivan kuten he odottavat Android 4.4: tä tänään. Ja jos näiden laitteiden valmistajat pyrkivät laittamaan päivityksiä lainkaan, on todennäköistä, etteivät he ole juuttuneet Android 4.3: een tai aiempaan versioon.

Google korjasi Jelly Bean -verkkokatsausongelman yli vuosi sitten. Laastari on nimeltään Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14. tammikuuta 2015

Googlen näkökulmasta tämän ongelman ratkaisu julkaistiin yli vuosi sitten Android 4.4 KitKatin tullessa markkinoille. Ihanteellisessa maailmassa se olisi korjaustiedon valmistaja, jota sovelletaan Jelly Bean -puhelimiinsa, ja sen seurauksena kukaan ei käyttäisi Android 4.3: ta tai sitä vanhempaa yli vuoden ajan sen jälkeen, kun 4.4 oli saatavilla. Valitettavasti useista rintamista tehdyistä ponnisteluista huolimatta Android-päivitykset ovat edelleen hullu.

Mutta siinä on hopeavuori - Google ryhtyy toimiin varmistaakseen, että WebView on helpompi korjata Android 5.0: n tai uudemman version yhteydessä.

Mitä nyt?

Koska Google ei kehitä korjaustiedostoja Jelly Beanin WebView-tietokantaan, OEM-valmistajien on kehitettävä ja otettava käyttöön omat korjaustensa kyseisiin puhelimiin ja tablet-laitteisiin. Koska nämä laitteet käyttävät jo melko vanhaa versiota käyttöjärjestelmästä, emme pidä hengityksestämme valmistajien ja operaattoreiden asentaa mitään ajoissa. Ja selväksi, niin todennäköisesti tilanne on riippumatta siitä, onko Google kehittänyt omat Jelly Bean WebView -korjauksensa vai ei.

Google on jo ryhtynyt toimiin varmistaakseen, että WebView voi pysyä ajan tasalla Lollipopissa.

Jos käyttöjärjestelmä on Android 4.3 tai vanhempi, suosittelemme, että siirryt selaimeen, joka ei käytä WebView-sovellusta, kuten Google Chrome tai Mozilla Firefox. Suojautuaksesi muihin WebViews-sovelluksia käyttäviin sovelluksiin on aina hyvä idea asentaa vain luotetut sovellukset ja ryhtyä perustoimenpiteisiin selatessasi verkkoa. Esimerkiksi Facebook antaa sinun poistaa käytöstä sisäänrakennetun selaimen ja avata Web-linkit valitsemassa selaimessa.

WebView on Android-käyttöjärjestelmän verkkoon päin oleva osa, jota on vaikea päivittää, ja se on selkeä kohde kaikille, jotka haluavat löytää Android-hyökkäyksiä, jotka vaikuttavat suureen joukkoon ihmisiä ja joita sovelluspäivitys ei voi välittömästi mitätöidä. Siksi Google on mahdollistanut WebView-päivityksen riippumattomasti käyttöjärjestelmästä Android 5.0: n tai uudemman version yhteydessä. Jos Lollipopin WebView-sovelluksessa löydettäisiin samanlaisia ​​haavoittuvuuksia, Google vain ajaa päivityksen Play Kaupan kautta ja tehdä se sen kanssa. Androidin luonteesta johtuen vie kuitenkin aikaa, jotta Lollipop muuttuu minne tahansa lähellä yhtä laajalle levinnyttä kuin Jelly Bean. Ja se tarkoittaa, että voi kulua vuosia ennen kuin suurin osa Android-käyttäjistä hyötyy uudesta, modulaarisesta WebView-toteutuksesta.