Разумевање веб прегледа и сигурносних закрпа за андроид

Недавно откриће да Гоогле више не развија сигурносне закрпе за „ВебВиев“ компоненту Андроида у Јелли Беан-у и раније је још једном указао на сигурност Андроид-а и изазове повезане са осигуравањем милијарду или толико активних уређаја. Први пут открио Метасплоит 12. јануара, наредних дана широко је објављено Гооглеово стајалиште о ажурирању ове централне Андроид компоненте.

Па шта је тачно ВебВиев и шта Гоогле став о ВебВиев ажурирањима значи за власнике Андроид уређаја? А ако и даље водите Јелли Беан, шта можете учинити да смањите ризик? Детаљно ћемо погледати паузу.

Прво: шта је ВебВиев?

Гледање веб странице у нечему осим Цхроме-а? Вероватно ћете гледати ВебВиев.

ВебВиев је део Андроид ОС-а одговоран за приказивање веб страница у већини Андроид апликација. Ако у веб апликацији за Андроид видите веб садржај, вероватно ћете гледати ВебВиев. Главни изузетак од овог правила је Гоогле Цхроме за Андроид, који уместо тога користи свој механизам за рендерирање, уграђен у апликацију. (Исто се односи и на неке друге Андроид прегледаче као што је Фирефок.)

У старијим верзијама Андроида (4.3 и новијима) ВебВиев користи код заснован на Аппле-овом Вебкиту - истом технологији иза Сафари прегледача. У Андроиду 4.4 и новијим верзијама, ВебВиев је заснован на Цхромиум-у, опен-соурце бази Гоогле Цхроме-а (који користи Гооглеов механизам Блинк). У Андроид 5.0, ВебВиев је издвојен као посебна апликација, вероватно да би се омогућиле благовремене исправке путем Гоогле Плаи-а без захтева за издавањем ажурирања фирмвера.

Шта се дешава?

Истраживачи безбедности компаније Метасплоит, након што су открили неколико сигурносних експлоатација у Андроид 4.3 компоненти ВебВиев и послали их Гооглеу, објавили су е-пошту од сецурити@андроид.цом у којој откривају да Гоогле углавном не развија закрпе за верзије ВебВиев пре Андроид-а 4.4.

Изводи из е-поште објављени у пословници гласили су:

"Ако је погођена верзија пре 4.4, обично не развијамо закрпе сами, већ поздрављамо закрпе са извештајем на разматрање. Осим ако обавештавамо ОЕМ-ове, нећемо моћи да предузмемо било који извештај који утиче на верзије пре 4.4. нису праћене закрпом."

Зашто је лоше?

Као што Метасплоит истиче, више од 60 процената активних Андроид уређаја тренутно покреће Јелли Беан (Андроид 4.1-4.3) или старије, што их потенцијално оставља отворенима за веб базиране приликом прегледавања ВебВиев-а. Ово је посебно забрињавајуће за оне на Андроиду 4.3 и нижој употреби уграђених веб прегледача произвођача попут ХТЦ, Самсунг и ЛГ (да наведемо само три) који ВебВиев користе за приказивање садржаја са интернета.

Чињеница да Гоогле не развија активно исправке за старије имплементације ВебВиев значи да је од ОЕМ-а да ове ствари сами закрпе.

Власници Андроид 4.0-4.3 који користе прегледаче који нису ВебВиев попут Цхроме или Фирефок неће бити изложени овим рањивостима када користе свој веб претраживач по избору. Међутим, они и даље могу бити у опасности ако их ВебВиев апликације треће стране усмери на злонамерну локацију. То је мање вероватно од налета на злонамјерни софтвер током редовног прегледавања веба, али имајући у виду да апликације са високим профилом као што су Феедли и Фацебоок користе ВебВиев за приказивање садржаја треће стране, далеко је немогуће.

Бројеви верзије Андроид платформе за месец који завршава 5. јануара 2015. године

Зашто то некако има смисла (или: реалност ажурирања Андроида)

Прави проблем није у томе што Гоогле неће ажурирати ВебВиев, већ што толико уређаја и даље користи Андроид 4.3 и старије верзије.

Лако је збунити симптом - ВебВиев рањивости - с основним узроком. Прави проблем није у томе што Гоогле неће ажурирати ВебВиев Јелли Беан-а, већ што толико уређаја и даље користи Андроид 4.3 и новију верзију, а мале су изгледе да се ажурирају, без обзира на то што ће Гоогле предузети. Чак и ако би Гоогле издавао закрпе за ВебВиев код Јелли Беан-а (и Сендвич сладоледа и медењака), корисници би и даље чекали да ОЕМ-ови (и превозници) избаце ажурирања фирмвера, баш као што и данас чекају на Андроиду 4.4. А ако би произвођачи ових уређаја уопште били склони да избаце ажурирања, велике су шансе да се они не би заглавили на Андроид 4.3 или раније.

Гоогле је решио проблем веб прегледа Јелли Беан пре више од годину дана. Закрпа се зове Андроид 4.4 КитКат.

- Алек Добие (@алекдобие) 14. јануара 2015. године

Из Гооглеове перспективе, решење за ово издање објављено је пре више од годину дана, доласком Андроид 4.4 КитКат. У идеалном свету, то би били оригинални оригинални оригинални фајлови који се примењују на њихове телефоне Јелли Беан, и као резултат тога нико не би имао Андроид 4.3 или мање више од годину дана након што је 4.4 постао доступан. Нажалост, упркос напорима на више фронта, Андроид исправке остају нешто као говно.

Али ту је и сребрна облога - Гоогле предузима кораке како би осигурао да је ВебВиев лакше закрпати у Андроид 5.0 и новијим верзијама.

Шта сад?

Будући да Гоогле неће развијати закрпе за Јелли Беан-ов ВебВиев, на ОЕМ-овима је да развију и објаве своје исправке на погођеним телефонима и таблетима. С обзиром на то да ови уређаји већ имају прилично стару верзију ОС-а, ми не задржавамо дах произвођачима и превозницима да благовремено имплементирају било шта. И да буде јасно, то би вјероватно могло бити случај без обзира да ли је Гоогле развио властите закрпе за Јелли Беан ВебВиев или не.

Гоогле је већ предузео кораке како би осигурао да ВебВиев буде у току са Лоллипопом.

Ако користите Андроид 4.3 или новији, препоручујемо вам да се пребаците на прегледач који не користи ВебВиев, као што су Гоогле Цхроме или Мозилла Фирефок. Што се тиче заштите себе у другим апликацијама које користе ВебВиевс, увек је добра идеја инсталирати само апликације у које имате поверење и предузети основне мере предострожности приликом прегледавања веба. Фацебоок, на пример, омогућава да онемогућите његов уграђени прегледач и отворите веб везе у вашем претраживачу по избору.

Као део Андроид ОС-а који је тешко ажурирати, ВебВиев је очигледна мета за све који желе да пронађу Андроид експлоатације који утичу на велики број људи и то не могу одмах поништити ажурирањем апликације. То је сигурно због чега је Гоогле омогућио ажурирање ВебВиев-а независно од оперативног система у Андроид 5.0 и новијим верзијама. Ако су сличне рањивости откривене у Лоллипоповом ВебВиев-у, Гоогле би једноставно избацио ажурирање путем Плаи Сторе-а и учинио то са њим. Међутим, због природе Андроид-а, требаће времена да Лоллипоп постане било где у близини, колико је Јелли Беан. А то значи да би могло проћи годинама прије него што већина Андроид корисника профитира од нове, модуларне имплементације ВебВиев.