Logo nl.androidermagazine.com
Logo nl.androidermagazine.com
» Software
Software

Inzicht in webview en Android-beveiligingspatches

Inzicht in webview en Android-beveiligingspatches

Inhoudsopgave:

Anonim

Een recente onthulling dat Google niet langer beveiligingspatches ontwikkelt voor de "WebView" -component van Android in Jelly Bean en eerder, heeft opnieuw aandacht besteed aan Android-beveiliging en de uitdagingen die gepaard gaan met het beveiligen van de ongeveer een miljard actieve apparaten. Voor het eerst onthuld door Metasploit op 12 januari, is het standpunt van Google over het updaten van deze centrale Android-component de volgende dagen uitgebreid gerapporteerd.

Dus wat is WebView precies en wat betekent het standpunt van Google over WebView-updates voor eigenaren van Android-apparaten? En als u Jelly Bean nog steeds gebruikt, wat kunt u doen om het risico te minimaliseren? We zullen na de pauze gedetailleerd kijken.

Eerste dingen eerst: wat is WebView?

Een webpagina bekijken in iets anders dan Chrome? De kans is groot dat u een WebView bekijkt.

WebView is het onderdeel van het Android-besturingssysteem dat verantwoordelijk is voor het renderen van webpagina's in de meeste Android-apps. Als u webinhoud in een Android-app ziet, is de kans groot dat u naar een WebView kijkt. De belangrijkste uitzondering op deze regel is Google Chrome voor Android, dat in plaats daarvan zijn eigen rendering-engine gebruikt, ingebouwd in de app. (Hetzelfde geldt voor sommige Android-browsers van derden, zoals Firefox.)

In oudere versies van Android (4.3 en lager) gebruikt WebView code op basis van de Webkit van Apple - dezelfde technologie achter de Safari-browser. In Android 4.4 en hoger is WebView gebaseerd op Chromium, de open-sourcebasis van Google Chrome (die de Blink-engine van Google gebruikt). In Android 5.0 werd WebView uitgesplitst als een afzonderlijke app, vermoedelijk om tijdige updates via Google Play mogelijk te maken zonder dat firmware-updates hoeven te worden uitgegeven.

Wat gebeurd er?

Beveiligingsonderzoekers van Metasploit hebben, nadat ze verschillende beveiligingsexploitaties in de WebView-component van Android 4.3 hebben ontdekt en deze bij Google hebben ingediend, een e-mail gepubliceerd van [email protected] waarin wordt onthuld dat Google over het algemeen geen patches ontwikkelt voor pre-Android 4.4-versies van WebView.

De e-mailfragmenten gepubliceerd door de outlet luidden:

"Als de getroffen versie vóór 4.4 is, ontwikkelen we de patches over het algemeen niet zelf, maar verwelkomen patches met het rapport ter overweging. Behalve aan OEM's informeren, kunnen we geen actie ondernemen op een rapport dat versies vóór 4.4 beïnvloedt die niet vergezeld gaan van een pleister."

Waarom is het slecht?

Zoals Metasploit aangeeft, draait op meer dan 60 procent van de actieve Android-apparaten momenteel Jelly Bean (Android 4.1-4.3) of eerder, waardoor ze mogelijk open blijven voor op internet gebaseerde nasty's wanneer ze door een WebView browsen. Dit is met name zorgwekkend voor mensen met Android 4.3 en lager die ingebouwde webbrowsers gebruiken van fabrikanten zoals HTC, Samsung en LG (om er maar drie te noemen), die WebViews gebruiken om inhoud van internet weer te geven.

Het feit dat Google niet actief oplossingen ontwikkelt voor oudere WebView-implementaties betekent dat het aan OEM's is om dit soort dingen zelf te patchen.

Eigenaars van Android 4.0-4.3 die niet-WebView-browsers zoals Chrome of Firefox gebruiken, zullen niet worden blootgesteld aan deze kwetsbaarheden wanneer zij hun favoriete webbrowser gebruiken. Ze kunnen echter nog steeds risico lopen als WebView van een app van een derde hen naar een schadelijke site leidt. Dit is minder waarschijnlijk dan bij het regelmatig surfen op het web, maar gezien het feit dat spraakmakende apps zoals Feedly en Facebook WebViews gebruiken om inhoud van derden weer te geven, is het verre van onmogelijk.

Versienummer van Android-platform voor de maand eindigend op 5 januari 2015.

Waarom het zo logisch is (of: de realiteit van het updaten van Android)

Het echte probleem is niet dat Google WebView niet bijwerkt, maar dat op zoveel apparaten nog steeds Android 4.3 en lager wordt uitgevoerd.

Het is gemakkelijk om het symptoom - WebView-kwetsbaarheden - te verwarren met de hoofdoorzaak. Het echte probleem is niet dat Google de WebView van Jelly Bean niet bijwerkt, maar dat op zoveel apparaten nog steeds Android 4.3 en lager wordt uitgevoerd met weinig vooruitzicht op updates, ongeacht welke actie Google zou ondernemen. Zelfs als Google patches zou uitgeven voor de WebView-code van Jelly Bean (en Ice Cream Sandwich's en Gingerbread's), zouden gebruikers nog steeds wachten op OEM's (en providers) om firmware-updates uit te duwen, net zoals ze vandaag wachten op Android 4.4. En als de fabrikanten van deze apparaten geneigd waren om updates helemaal uit te duwen, is de kans groot dat ze in eerste instantie niet vastzitten op Android 4.3 of eerder.

Google heeft het Jelly Bean-webviewprobleem ruim een ​​jaar geleden opgelost. De patch wordt Android 4.4 KitKat genoemd.

- Alex Dobie (@alexdobie) 14 januari 2015

Vanuit het perspectief van Google werd de oplossing voor dit probleem meer dan een jaar geleden vrijgegeven met de komst van Android 4.4 KitKat. In een ideale wereld zouden dat de patch-OEM's zijn die op hun Jelly Bean-telefoons worden toegepast, en als gevolg daarvan zou niemand Android 4.3 of lager meer dan een jaar gebruiken nadat 4.4 beschikbaar kwam. Helaas, ondanks inspanningen op meerdere fronten, blijven Android-updates iets van een onzin.

Maar er is een zilveren voering: Google neemt maatregelen om ervoor te zorgen dat WebView gemakkelijker te patchen is in Android 5.0 en hoger.

Wat nu?

Omdat Google geen patches voor Jelly Bean's WebView ontwikkelt, is het aan OEM's om hun eigen fixes op getroffen telefoons en tablets te ontwikkelen en uit te rollen. Aangezien deze apparaten al een vrij oude versie van het besturingssysteem hebben, houden we onze adem niet in voor fabrikanten en vervoerders om alles tijdig te implementeren. En voor alle duidelijkheid, dat zou waarschijnlijk het geval zijn, ongeacht of Google zijn eigen Jelly Bean WebView-patches ontwikkelde of niet.

Google heeft al stappen gezet om ervoor te zorgen dat WebView up-to-date kan blijven in Lollipop.

Als u Android 4.3 of lager gebruikt, raden we u aan over te schakelen naar een browser die geen WebView gebruikt, zoals Google Chrome of Mozilla Firefox. Wat betreft het beschermen van uzelf in andere apps die WebViews gebruiken, is het altijd een goed idee om alleen apps te installeren die u vertrouwt en om elementaire voorzorgsmaatregelen te nemen bij het surfen op het web. Met Facebook kunt u bijvoorbeeld de ingebouwde browser uitschakelen en webkoppelingen in uw favoriete browser openen.

Als een webgeoriënteerd deel van het Android-besturingssysteem dat moeilijk te updaten is, is WebView een duidelijk doelwit voor iedereen die Android-exploits wil vinden die een groot aantal mensen treffen en die niet onmiddellijk teniet kunnen worden gedaan door een app-update. Dat is zeker de reden waarom Google het mogelijk heeft gemaakt om WebView onafhankelijk van het besturingssysteem in Android 5.0 en hoger bij te werken. Als soortgelijke kwetsbaarheden in Lollipop's WebView zouden worden ontdekt, zou Google eenvoudig een update door de Play Store pushen en daarmee klaar zijn. Vanwege de aard van Android zal het echter tijd kosten voordat Lollipop bijna even wijdverspreid is als Jelly Bean. En dat betekent dat het nog jaren kan duren voordat de meeste Android-gebruikers profiteren van de nieuwe, modulaire WebView-implementatie.

Software

Bewerkers keuze