Pag-unawa sa webview at android security patch

Ang isang kamakailang paghahayag na ang Google ay hindi na nagkakaroon ng mga security patch para sa "WebView" na sangkap ng Android sa Jelly Bean at mas maaga ay muling naglagay ng isang pansin sa seguridad ng Android, at ang mga hamon na kasangkot sa pag-secure ng isang bilyon o mas aktibong aparato. Una na inihayag ni Metasploit noong Enero 12, ang tindig ng Google sa pag-update ng gitnang sangkap na Android na ito ay malawak na naiulat sa mga sumusunod na araw.

Kaya ano nga ba talaga ang WebView, at ano ang ibig sabihin ng tindig ng Google sa mga update sa WebView para sa mga may-ari ng Android? At kung nagpapatakbo ka pa rin ng Jelly Bean, ano ang maaari mong gawin upang gayahin ang panganib? Dadalhin namin ang isang detalyadong hitsura pagkatapos ng pahinga.

Unang mga bagay muna: Ano ang WebView?

Ang pagtingin sa isang web page sa anumang bagay maliban sa Chrome? Pagkakataon ay naghahanap ka sa isang WebView.

Ang WebView ay bahagi ng Android OS na responsable para sa pag-render ng mga web page sa karamihan sa mga Android apps. Kung nakakita ka ng web content sa isang Android app, ang mga pagkakataon ay naghahanap ka sa isang WebView. Ang pangunahing pagbubukod sa panuntunang ito ay ang Google Chrome para sa Android, na sa halip ay gumagamit ng sariling engine ng pag-render, na binuo sa app. (Ang parehong napupunta para sa ilang mga third-party na mga browser ng Android tulad ng Firefox.)

Sa mas lumang mga bersyon ng Android (4.3 at sa ibaba), gumagamit ng WebView ang code batay sa Webkit ng Apple - ang parehong tech sa likod ng browser ng Safari. Sa Android 4.4 pataas, ang WebView ay batay sa Chromium, ang open-source base ng Google Chrome (na gumagamit ng Google Blink engine.). Sa Android 5.0, ang WebView ay nasira bilang isang hiwalay na app, marahil upang payagan ang napapanahong mga update sa pamamagitan ng Google Play nang hindi nangangailangan ng mga pag-update ng firmware.

Ano ang nangyayari?

Ang mga mananaliksik ng seguridad mula sa Metasploit, matapos matuklasan ang maraming mga pagsasamantala sa seguridad sa bahagi ng WebView ng Android 4.3 at isumite ang mga ito sa Google, ay naglathala ng isang email mula sa [email protected] na isiniwalat na ang Google sa pangkalahatan ay hindi bumuo ng mga patch para sa pre-Android 4.4 na mga bersyon ng WebView.

Ang mga sipi ng email na inilathala ng outlet basahin:

"Kung ang apektadong bersyon ay bago ang 4.4, sa pangkalahatan ay hindi namin nabubuo ang mga patch, ngunit ang mga pag-welcome ng mga patch na may ulat para sa pagsasaalang-alang. Maliban sa pag-abiso sa mga OEM, hindi namin makagawa ng aksyon sa anumang ulat na nakakaapekto sa mga bersyon bago ang 4.4 na ay hindi sinamahan ng isang patch."

Bakit masama?

Tulad ng itinuturo ng Metasploit, higit sa 60 porsyento ng mga aktibong aparato ng Android ang kasalukuyang tumatakbo sa Jelly Bean (Android 4.1-4.3) o mas maaga, potensyal na iwanan ang mga ito nang bukas sa mga nasties na nakabase sa web kapag nagba-browse sa pamamagitan ng isang WebView. Lalo na itong nakakabahala para sa mga nasa Android 4.3 at sa ibaba gamit ang built-in na web browser mula sa mga tagagawa tulad ng HTC, Samsung at LG (sa pangalan ngunit tatlo), na gumagamit ng mga WebView upang ipakita ang nilalaman mula sa web.

Ang katotohanan na ang Google ay hindi aktibong bumubuo ng mga pag-aayos para sa mas matatandang pagpapatupad ng WebView ay nangangahulugang nasa OEM na i-patch ang mga bagay na ito sa kanilang sarili.

Ang mga may-ari ng Android 4.0-4.3 na gumagamit ng mga browser na hindi WebView tulad ng Chrome o Firefox ay hindi malantad sa mga kahinaan na ito kapag gumagamit ng kanilang web browser na pinili. Gayunpaman, maaari pa rin silang mapanganib kung ang WebView ng isang third-party app ay mag-uutos sa kanila sa isang nakakahamak na site. Ito ay mas malamang kaysa sa pagtakbo sa malware sa kurso ng regular na pag-browse sa web, gayunpaman na ibinigay na ang mga high-profile na apps tulad ng Feedly at Facebook ay gumagamit ng WebViews upang ipakita ang nilalaman ng third-party, malayo ito imposible.

Mga numero ng bersyon ng Android para sa buwan na nagtatapos Enero 5, 2015.

Bakit ito uri ng kahulugan (o: ang katotohanan ng pag-update ng Android)

Ang tunay na problema ay hindi na-update ng Google ang WebView, ngunit ang napakaraming mga aparato ay tumatakbo pa rin sa Android 4.3 at sa ibaba.

Madali na lituhin ang sintomas - Mga kahinaan sa WebView - kasama ang ugat. Ang tunay na problema ay hindi na-update ng Google ang WebView ng Jelly Bean, ngunit ang napakaraming aparato ay nagpapatakbo pa rin ng Android 4.3 at sa ibaba na may maliit na pag-asam na mai-update, anuman ang anumang aksyon na maaaring gawin ng Google. Kahit na ang Google ay mag-isyu ng mga patch para sa code ng WebView ng Jelly Bean (at Ice Cream Sandwich's, at Gingerbread's), ang mga gumagamit ay maghihintay pa rin sa mga OEM (at mga tagadala) upang itulak ang mga pag-update ng firmware, tulad ng hinihintay nila sa Android 4.4 ngayon. At kung ang mga tagagawa ng mga aparatong ito ay may posibilidad na itulak ang mga pag-update ng lahat, ang mga pagkakataon ay hindi sila mai-suplado sa Android 4.3 o mas maaga upang magsimula.

Inayos ng Google ang isyu ng Jelly Bean webview sa loob ng isang taon na ang nakalilipas. Ang patch ay tinatawag na Android 4.4 KitKat.

- Alex Dobie (@alexdobie) Enero 14, 2015

Mula sa pananaw ng Google, ang pag-aayos para sa isyung ito ay inilabas higit sa isang taon na ang nakalilipas sa pagdating ng Android 4.4 KitKat. Sa isang mainam na mundo, iyon ang magiging patch OEM na inilapat sa kanilang mga Jelly Bean phone, at bilang isang resulta ay walang tumatakbo sa Android 4.3 o mas mababa sa higit sa isang taon pagkatapos ng 4.4 na magagamit. Sa kasamaang palad, sa kabila ng mga pagsisikap sa maraming fronts, ang mga pag-update sa Android ay nananatiling isang bagay ng isang crapshoot.

Ngunit mayroong isang pilak na lining - ang mga hakbang sa pagkuha ng Google upang matiyak na ang WebView ay mas madaling mag-patch sa Android 5.0 at higit pa.

Ano ngayon?

Dahil ang Google ay hindi bubuo ng mga patch sa WebView ng Jelly Bean, nasa sa OEM na bumuo at mag-roll out ng kanilang sariling mga pag-aayos sa mga apektadong telepono at tablet. Ibinigay na ang mga aparato na ito ay tumatakbo na isang medyo lumang bersyon ng OS, hindi namin pinipigilan ang aming mga hininga para sa mga tagagawa at mga tagadala upang maipagsapalaran ang anumang bagay sa isang napapanahong paraan. At upang maging malinaw, malamang na iyon ang kaso anuman ang binuo ng Google ng kanyang sariling mga Jelly Bean WebView patch o hindi.

Nagawa na ang mga hakbang ng Google upang matiyak na ang WebView ay maaaring manatiling napapanahon sa Lollipop.

Kung nagpapatakbo ka ng Android 4.3 o sa ibaba, inirerekumenda namin ang paglipat sa isang browser na hindi gumagamit ng WebView, tulad ng Google Chrome o Mozilla Firefox. Tulad ng para sa pagprotekta sa iyong sarili sa iba pang mga app na gumagamit ng WebViews, palaging magandang ideya na mag-install lamang ng mga app na pinagkakatiwalaan mo, at gumawa ng mga pangunahing pag-iingat kapag nagba-browse sa web. Halimbawa, hinahayaan ka ng Facebook na huwag paganahin ang built-in browser nito at buksan ang mga web link sa iyong browser na pinili.

Bilang isang nakaharap sa web na bahagi ng Android OS na mahirap i-update, ang WebView ay isang malinaw na target para sa sinumang nagnanais na makahanap ng mga pagsasamantala sa Android na nakakaapekto sa isang malaking bilang ng mga tao, at hindi ito maaaring agad na mapawalang-bisa ng isang pag-update ng app. Tiyak na kung bakit nagawa ng Google na ma-update ang WebView nang nakapag-iisa ng OS sa Android 5.0 at higit pa. Kung ang mga katulad na kahinaan ay natuklasan sa WebView ng Lollipop, itutulak lang ng Google ang isang pag-update sa pamamagitan ng Play Store at gawin ito. Gayunpaman, dahil sa likas na katangian ng Android, aabutin ng oras para sa Lollipop na maging kahit saan malapit sa laganap na bilang Jelly Bean. At nangangahulugan ito na maaaring maging mga taon bago ang karamihan ng mga gumagamit ng Android ay nakikinabang sa bago, modular na pagpapatupad ng WebView.