Κατανόηση των διορθώσεων ιστού και του Android

Μια πρόσφατη αποκάλυψη ότι η Google δεν αναπτύσσει πλέον τις ενημερωμένες εκδόσεις ασφαλείας για το στοιχείο "WebView" του Android στο Jelly Bean και νωρίτερα έδωσε και πάλι το προβάδισμα στην ασφάλεια του Android και τις προκλήσεις που συνεπάγεται η διασφάλιση του ενός δισεκατομμυρίου ή τόσο ενεργών συσκευών. Πρώτα αποκαλύφθηκε από τη Metasploit στις 12 Ιανουαρίου, η θέση της Google σχετικά με την ενημέρωση αυτής της κεντρικής συνιστώσας Android έχει αναφερθεί ευρέως τις επόμενες ημέρες.

Τι ακριβώς είναι το WebView και ποια είναι η θέση της Google σχετικά με τις ενημερώσεις WebView για τους ιδιοκτήτες συσκευών Android; Και αν συνεχίζετε να τρέχετε το Jelly Bean, τι μπορείτε να κάνετε για να εξομαλύνετε τον κίνδυνο; Θα εξετάσουμε λεπτομερώς το διάλειμμα.

Πρώτα πρώτα πράγματα: Τι είναι το WebView;

Προβολή ιστοσελίδας σε οτιδήποτε εκτός από το Chrome; Είναι πιθανό να ψάχνετε ένα WebView.

Το WebView είναι το μέρος του Android OS που είναι υπεύθυνο για την απόδοση ιστοσελίδων στις περισσότερες εφαρμογές Android. Εάν βλέπετε περιεχόμενο ιστού σε μια εφαρμογή Android, πιθανώς ψάχνετε ένα WebView. Η κύρια εξαίρεση σε αυτόν τον κανόνα είναι το Google Chrome για Android, το οποίο χρησιμοποιεί αντ 'αυτού τη δική του μηχανή απόδοσης ενσωματωμένη στην εφαρμογή. (Το ίδιο ισχύει και για ορισμένα προγράμματα περιήγησης Android άλλων κατασκευαστών, όπως το Firefox.)

Σε παλαιότερες εκδόσεις του Android (4.3 και παρακάτω), το WebView χρησιμοποιεί κώδικα βασισμένο στο Webkit της Apple - την ίδια τεχνολογία πίσω από το πρόγραμμα περιήγησης Safari. Στο Android 4.4 και νεότερο, το WebView βασίζεται στο Chromium, τη βάση ανοιχτού κώδικα του Google Chrome (που χρησιμοποιεί τον κινητήρα Blink της Google.). Στο Android 5.0, το WebView διαχωρίστηκε ως ξεχωριστή εφαρμογή, πιθανόν να επιτρέπει έγκαιρες ενημερώσεις μέσω του Google Play χωρίς να απαιτείται η έκδοση ενημερώσεων υλικολογισμικού.

Τι συμβαίνει?

Οι ερευνητές ασφαλείας της Metasploit, αφού ανακάλυψαν πολλά στοιχεία ασφαλείας στο στοιχείο WebView του Android 4.3 και τα υπέβαλαν στην Google, δημοσίευσαν ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την διεύθυνση [email protected], αποκαλύπτοντας ότι το Google γενικά δεν αναπτύσσει ενημερώσεις κώδικα για εκδόσεις του WebView πριν από το Android 4.4.

Τα αποσπάσματα ηλεκτρονικού ταχυδρομείου που δημοσιεύθηκαν από την πρίζα διαβάστηκαν ως εξής:

"Εάν η επηρεαζόμενη έκδοση είναι πριν από την 4.4, γενικά δεν αναπτύσσουμε τα patches οι ίδιοι, αλλά ευπρόσδεκτα μπαλώματα με την αναφορά για εξέταση. Εκτός από την κοινοποίηση των ΚΑΕ, δεν θα είμαστε σε θέση να αναλάβουμε δράση σε οποιαδήποτε έκθεση που επηρεάζει εκδόσεις πριν από 4.4 δεν συνοδεύονται από ένα έμπλαστρο."

Γιατί είναι κακό;

Όπως επισημαίνει το Metasploit, πάνω από το 60% των ενεργών συσκευών Android τρέχουν αυτήν τη στιγμή το Jelly Bean (Android 4.1-4.3) ή νωρίτερα, επιτρέποντάς τους να ανοίξουν στο διαδίκτυο μέσω της πλοήγησης σε ένα WebView. Αυτό είναι ιδιαίτερα ανησυχητικό για όσους βρίσκονται στο Android 4.3 και κάτω χρησιμοποιώντας ενσωματωμένα προγράμματα περιήγησης ιστού από κατασκευαστές όπως HTC, Samsung και LG (για να αναφέρουμε μόνο τρία), τα οποία χρησιμοποιούν το WebViews για την προβολή περιεχομένου από τον ιστό.

Το γεγονός ότι η Google δεν αναπτύσσει ενεργά διορθώσεις για παλαιότερες υλοποιήσεις WebView σημαίνει ότι οι κατασκευαστές OEM πρέπει να διορθώσουν αυτά τα πράγματα μόνοι τους.

Οι ιδιοκτήτες Android 4.0-4.3 που χρησιμοποιούν προγράμματα περιήγησης εκτός του WebView, όπως το Chrome ή τον Firefox, δεν θα εκτεθούν σε αυτά τα τρωτά σημεία όταν χρησιμοποιούν το πρόγραμμα περιήγησης ιστού που επιθυμούν. Εντούτοις, θα μπορούσαν να διατρέχουν κίνδυνο εάν το WebView μιας εφαρμογής τρίτου μέρους τους κατευθύνει σε έναν κακόβουλο ιστότοπο. Αυτό είναι λιγότερο πιθανό από το να τρέχει σε κακόβουλο λογισμικό κατά τη διάρκεια της κανονικής περιήγησης στο web, εντούτοις δεδομένου ότι οι εφαρμογές υψηλού προφίλ όπως το Feedly και το Facebook χρησιμοποιούν το WebViews για την προβολή περιεχομένου τρίτου μέρους, δεν είναι καθόλου αδύνατο.

Αριθμοί έκδοσης πλατφόρμας Android για το μήνα που λήγει στις 5 Ιανουαρίου 2015.

Γιατί έχει νόημα (ή: η πραγματικότητα της ενημέρωσης του Android)

Το πραγματικό πρόβλημα δεν είναι ότι η Google δεν θα ενημερώσει το WebView, αλλά ότι τόσες συσκευές εξακολουθούν να εκτελούν Android 4.3 και πιο κάτω.

Είναι εύκολο να συγχέουμε το σύμπτωμα - τα τρωτά σημεία WebView - με τη βασική αιτία. Το πραγματικό πρόβλημα δεν είναι ότι η Google δεν θα ενημερώσει το WebView του Jelly Bean, αλλά ότι τόσες συσκευές εξακολουθούν να εκτελούν Android 4.3 και παρακάτω με ελάχιστη προοπτική ενημέρωσης, ανεξάρτητα από τις ενέργειες που ενδέχεται να αναλάβει η Google. Ακόμα και αν η Google εξέδιδε ενημερώσεις για τον κώδικα WebView του Jelly Bean (και το Ice Cream Sandwich's και το Gingerbread's), οι χρήστες θα εξακολουθούσαν να περιμένουν τους ΚΑΕ (και τους μεταφορείς) να προωθούν τις ενημερώσεις υλικολογισμικού, όπως περιμένουν σήμερα στο Android 4.4. Και αν οι κατασκευαστές αυτών των συσκευών είχαν την τάση να απομακρύνουν τις ενημερώσεις καθόλου, είναι πιθανό να μην έχουν κολλήσει στο Android 4.3 ή νωρίτερα για να ξεκινήσουν.

Η Google διόρθωσε το θέμα της προβολής ιστού Jelly Bean πριν από ένα χρόνο. Η ενημερωμένη έκδοση κώδικα ονομάζεται Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 Ιανουαρίου 2015

Από την οπτική γωνία της Google, η ενημέρωση για αυτό το ζήτημα απελευθερώθηκε πριν από περισσότερο από ένα χρόνο με την άφιξη του Android 4.4 KitKat. Σε έναν ιδανικό κόσμο, αυτοί θα ήταν οι OEMs patch που εφαρμόζονταν στα τηλέφωνα Jelly Bean και ως αποτέλεσμα κανείς δεν θα τρέχει το Android 4.3 ή λιγότερο από ένα χρόνο μετά την κυκλοφορία του 4.4. Δυστυχώς, παρά τις προσπάθειες σε πολλαπλά μέτωπα, οι ενημερώσεις Android παραμένουν κάτι σαν crapshoot.

Αλλά υπάρχει μια ασημένια επένδυση - η Google λαμβάνει μέτρα για να εξασφαλίσει ότι το WebView είναι πιο εύκολο να το διορθώσετε στο Android 5.0 και πιο πέρα.

Τώρα τι?

Επειδή η Google δεν θα αναπτύξει patches στο WebView του Jelly Bean, εναπόκειται στους ΚΑΕ να αναπτύξουν και να αναπτύξουν τις δικές τους διορθώσεις στα επηρεαζόμενα τηλέφωνα και tablet. Δεδομένου ότι αυτές οι συσκευές τρέχουν ήδη μια αρκετά παλιά έκδοση του λειτουργικού συστήματος, δεν κρατάμε την αναπνοή μας για τους κατασκευαστές και τους μεταφορείς να αναπτύξουν οτιδήποτε εγκαίρως. Και για να είμαστε σαφείς, αυτό θα ήταν πιθανό να συμβαίνει ανεξάρτητα από το αν η Google έχει αναπτύξει τις δικές της ενημερώσεις κώδικα Jelly Bean WebView ή όχι.

Η Google έχει ήδη λάβει μέτρα για να βεβαιωθεί ότι το WebView μπορεί να παραμείνει ενημερωμένο στο Lollipop.

Εάν χρησιμοποιείτε το Android 4.3 ή νεότερη έκδοση, θα συνιστούσαμε την εναλλαγή σε ένα πρόγραμμα περιήγησης που δεν χρησιμοποιεί το WebView, όπως το Google Chrome ή το Mozilla Firefox. Όσον αφορά την προστασία του εαυτού σας σε άλλες εφαρμογές που χρησιμοποιούν WebViews, είναι πάντα καλή ιδέα να εγκαταστήσετε μόνο εφαρμογές που εμπιστεύεστε και να λάβετε βασικές προφυλάξεις κατά την περιήγηση στον ιστό. Το Facebook, για παράδειγμα, σάς επιτρέπει να απενεργοποιήσετε το ενσωματωμένο πρόγραμμα περιήγησης και να ανοίξετε συνδέσμους ιστού στο πρόγραμμα περιήγησης που προτιμάτε.

Ως web-facing τμήμα του Android OS που είναι δύσκολο να ενημερωθεί, το WebView είναι ένας προφανής στόχος για όποιον θέλει να βρει εφαρμογές του Android που επηρεάζουν ένα μεγάλο αριθμό ανθρώπων και αυτό δεν μπορεί να ακυρωθεί αμέσως από μια ενημέρωση εφαρμογής. Αυτό είναι σίγουρα γιατί η Google έχει καταστήσει δυνατή την ενημέρωση του WebView ανεξάρτητα από το λειτουργικό σύστημα στο Android 5.0 και πιο πέρα. Εάν εντοπιστούν παρόμοια ευπάθειες στο WebView της Lollipop, η Google απλώς θα στείλει μια ενημερωμένη έκδοση μέσω του Play Store και θα γίνει με αυτήν. Ωστόσο, λόγω της φύσης του Android, θα χρειαστεί χρόνος για να γίνει Lollipop οπουδήποτε κοντά σε τόσο διαδεδομένη όσο ο Jelly Bean. Και αυτό σημαίνει ότι θα μπορούσε να είναι χρόνια πριν η πλειοψηφία των χρηστών Android επωφεληθούν από τη νέα, modular υλοποίηση του WebView.