Razumijevanje internetskog pregleda i sigurnosnih zakrpa za android

Nedavno otkriće da Google više ne razvija sigurnosne zakrpe za „WebView“ komponentu Androida u Jelly Bean-u i ranije je ponovno ukazao na sigurnost Androida i izazove povezane sa osiguravanjem milijardu ili toliko aktivnih uređaja. Prvi put otkrio Metasploit 12. siječnja, Google je stav o ažuriranju ove središnje komponente za Android široko izvijestio sljedećih dana.

Pa što je zapravo WebView i što Google misli o ažuriranjima WebView znači za vlasnike Android uređaja? A ako još uvijek trčite Jelly Bean, što možete učiniti da smanjite rizik? Detaljno ćemo pogledati stanku nakon pauze.

Prvo stvari: Što je WebView?

Pregledavanje web stranice u nečemu osim Chromea? Vjerojatno gledate WebView.

WebView je dio Android OS-a odgovoran za prikazivanje web stranica u većini Androidovih aplikacija. Ako u Androidovoj aplikaciji vidite web sadržaj, vjerojatno ćete gledati WebView. Glavna iznimka od ovog pravila je Google Chrome za Android, koji umjesto toga koristi svoj vlastiti mehanizam za prikaz, ugrađen u aplikaciju. (Isto vrijedi i za Androidove preglednike drugih proizvođača poput Firefoxa.)

U starijim verzijama Androida (4.3 i novijima) WebView koristi kôd zasnovan na Appleovom Webkitu - istom tehnologiji iza preglednika Safari. U Androidu 4.4 i novijim verzijama WebView se temelji na Chromiumu, open-source bazi Google Chrome-a (koji koristi Googleov mehanizam Blink). U sustavu Android 5.0 WebView je izdvojen kao zasebna aplikacija, vjerojatno kako bi se omogućila pravodobna ažuriranja putem Google Playa bez potrebe za izdavanjem ažuriranja firmvera.

Što se događa?

Sigurnosni istraživači iz Metasploita, nakon što su otkrili nekoliko sigurnosnih eksploatacija u Android 4.3 komponenti WebView i poslali ih Googleu, objavili su e-poruku od [email protected] u kojoj otkrivaju da Google uglavnom ne razvija zakrpe za verzije WebView prije Androida 4.4.,

Izvatci iz e-pošte objavljeni u poslovnici glasili su:

"Ako je verzija na koju je pogođena prije 4.4, obično ne razvijemo zakrpe sami, već pozdravljamo zakrpe s izvješćem na razmatranje. Osim ako obavijestimo OEM-ove, nećemo moći poduzeti mjere ni u jednom izvješću koje utječe na verzije prije 4.4. nisu popraćene flasterom."

Zašto je loše?

Kao što Metasploit ističe, više od 60 posto aktivnih Android uređaja trenutačno pokreće Jelly Bean (Android 4.1-4.3) ili starije, što ih potencijalno ostavlja otvorenima za web preglednike kada pregledavaju WebView. To je posebno zabrinjavajuće za one na Androidu 4.3 i starijim verzijama koji koriste ugrađene web-preglednike proizvođača poput HTC-a, Samsung-a i LG-a (da navedemo samo tri) koji WebView koriste za prikaz sadržaja s interneta.

Činjenica da Google ne razvija aktivno ispravke za starije implementacije WebView znači da je do OEM-a da ove stvari sami zakrpe.

Vlasnici Android 4.0-4.3 koji koriste preglednike koji nisu WebView poput Chromea ili Firefoxa neće biti izloženi tim ranjivostima kada koriste svoj web preglednik po izboru. No oni i dalje mogu biti u opasnosti ako ih WebView aplikacije treće strane usmjeri na zlonamjernu web lokaciju. To je manje vjerojatno od naleta na zlonamjerni softver tijekom redovitog pregledavanja weba, no s obzirom na to da aplikacije visokog profila poput Feedlyja i Facebooka koriste WebView za prikaz sadržaja treće strane, daleko je nemoguće.

Brojevi verzija Android platforme za mjesec koji završava 5. siječnja 2015.

Zašto to ima smisla (ili: stvarnost ažuriranja Androida)

Pravi problem nije u tome što Google neće ažurirati WebView, već zato što toliko uređaja i dalje koristi Android 4.3 i starije verzije.

Lako je zbuniti simptom - ranjivosti WebView - s osnovnim uzrokom. Pravi problem nije u tome što Google neće ažurirati WebView Jelly Bean-a, već to što mnogi uređaji i dalje imaju Android 4.3 i noviju verziju s malim izgledima za ažuriranje, bez obzira na to što bi Google mogao poduzeti. Čak i ako bi Google izdavao zakrpe za WebView kod Jelly Bean-a (i Ice Cream Sandwich's, and Gingerbread's), korisnici bi još uvijek čekali da OEM-ovi (i prijevoznici) izbace ažuriranja firmvera, baš kao što i danas čekaju na Androidu 4.4. A ako bi proizvođači ovih uređaja uopće bili skloni izbaciti ažuriranja, vjerojatno ne bi zaglavili na Androidu 4.3 ili ranije.

Google je riješio pitanje internetskog pregleda Jelly Bean prije više od godinu dana. Zakrpa se zove Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14. siječnja 2015

Iz Googleove perspektive, popravak ovog broja objavljen je prije više od godinu dana dolaskom Androida 4.4 KitKat. U idealnom bi svijetu to bili patch OEM-ovi primijenjeni na njihove Jelly Bean telefone, a kao rezultat toga nitko ne bi imao Android 4.3 ili manje više od godinu dana nakon što je 4.4 postao dostupan. Nažalost, unatoč naporima na više fronta, Android ažuriranja ostaju nešto kao govno.

No, tu je i srebrna obloga - Google poduzima korake kako bi osigurao da se WebView lakše zakrpi na Android 5.0 i noviji.

Što sada?

Budući da Google neće razvijati zakrpe za Jelly Bean WebView, na OEM-ovima je da razviju i uvedu vlastite popravke na pogođene telefone i tablete. S obzirom da ti uređaji već imaju prilično staru verziju OS-a, proizvođači i nosači ne zadržavamo dah na bilo koji način pravovremeno uvesti. I da bude jasno, to bi vjerojatno moglo biti slučaj bez obzira je li Google razvio vlastite zakrpe Jelly Bean WebView ili ne.

Google je već poduzeo korake kako bi osigurao da WebView ostane u tijeku putem Lollipopa.

Ako imate Android 4.3 ili starije verzije, preporučujemo vam da se prebacite na preglednik koji ne upotrebljava WebView, kao što su Google Chrome ili Mozilla Firefox. Što se tiče zaštite sebe u drugim aplikacijama koje koriste WebView, uvijek je dobra ideja instalirati samo aplikacije u koje imate povjerenje i poduzeti osnovne mjere opreza tijekom pregledavanja weba. Primjerice, Facebook vam omogućuje onemogućavanje ugrađenog preglednika i otvaranje web veza u vašem pregledniku po izboru.

Kao dio AOS-a koji je okrenut web-u i koji je teško ažurirati, WebView je očigledan cilj za sve koji žele pronaći Android iskorištavanja koja utječu na veliki broj ljudi, a ažuriranje aplikacije ne mogu odmah poništiti. To je sigurno zbog čega je Google omogućio ažuriranje WebViewa neovisno o OS-u u sustavu Android 5.0 i novijim. Ako su slične ranjivosti otkrivene u Lollipopovom WebViewu, Google bi jednostavno istjerao ažuriranje putem Play Store-a i učinio s njim. Međutim, zbog prirode Androida, trebat će vremena da Lollipop postane bilo gdje u blizini, koliko i Jelly Bean. A to znači da bi moglo proći mnogo godina prije nego što većina Androidovih korisnika ima koristi od nove, modularne implementacije WebView.