Förstå webbvisning och android säkerhetsuppdateringar

En ny uppenbarelse om att Google inte längre utvecklar säkerhetskorrigeringar för "WebView" -komponenten i Android i Jelly Bean och tidigare har ännu en gång satt fokus på Android-säkerheten och utmaningarna med att säkra en miljard eller så aktiva enheter. Först avslöjades av Metasploit den 12 januari. Googles inställning till att uppdatera den här centrala Android-komponenten har rapporterats allmänt under de följande dagarna.

Så vad är WebView exakt, och vad betyder Googles inställning till WebView-uppdateringar för ägare av Android-enheter? Och om du fortfarande kör Jelly Bean, vad kan du göra för att härma risken? Vi tar en detaljerad titt efter pausen.

Första saker först: Vad är WebView?

Visar du en webbsida i någonting förutom Chrome? Chansen är att du tittar på en WebView.

WebView är den del av Android OS som ansvarar för att rendera webbsidor i de flesta Android-appar. Om du ser webbinnehåll i en Android-app är det troligt att du tittar på en WebView. Det största undantaget från denna regel är Google Chrome för Android, som istället använder sin egen renderingmotor, inbyggd i appen. (Detsamma gäller för vissa Android-webbläsare som Firefox.)

I äldre versioner av Android (4.3 och nedan) använder WebView kod baserad på Apples Webkit - samma teknik bakom Safari-webbläsaren. I Android 4.4 och senare är WebView baserat på Chromium, den öppna källkoden för Google Chrome (som använder Googles Blink-motor.). I Android 5.0 bröts WebView ut som en separat app, förmodligen för att möjliggöra snabba uppdateringar via Google Play utan att kräva att firmware-uppdateringar utfärdades.

Vad pågår?

Efter att ha upptäckt flera säkerhetsutnyttjelser i Android 4.3: s WebView-komponent och skickat dem till Google har säkerhetsforskare från Metasploit publicerat ett e-postmeddelande från [email protected] som avslöjar att Google i allmänhet inte utvecklar korrigeringsfiler för WebView-versioner före Android 4.4..

I e-postutdragen som publicerats av utloppet står:

"Om den drabbade versionen är före 4.4, utvecklar vi i allmänhet inte korrigeringarna själva, men välkomnar korrigeringsfiler med rapporten för övervägande. Annat än att anmäla OEM-tillverkare kommer vi inte att kunna vidta åtgärder för någon rapport som påverkar versioner före 4.4 som åtföljs inte av en lapp."

Varför är det dåligt?

Som Metasploit påpekar kör mer än 60 procent av aktiva Android-enheter för närvarande Jelly Bean (Android 4.1-4.3) eller tidigare, vilket potentiellt lämnar dem öppna för webbaserade nasties när du bläddrar igenom en WebView. Detta är särskilt oroande för dem på Android 4.3 och senare som använder inbyggda webbläsare från tillverkare som HTC, Samsung och LG (för att bara nämna tre), som använder WebViews för att visa innehåll från webben.

Det faktum att Google inte aktivt utvecklar korrigeringar för äldre WebView-implementationer innebär att det är upp till OEM-tillverkare att korrigera det här på egen hand.

Android 4.0-4.3-ägare som använder webbläsare som inte är WebView som Chrome eller Firefox kommer inte att utsättas för dessa sårbarheter när de använder sin valbara webbläsare. Men de kan fortfarande vara i fara om en tredjepartsapps WebView leder dem till en skadlig webbplats. Detta är mindre troligt än att stöta på skadlig programvara under regelbunden webbsökning, men med tanke på att högprofilerade appar som Feedly och Facebook använder WebViews för att visa innehåll från tredje part är det långt ifrån omöjligt.

Android-plattformsversionsnummer för månaden som slutar 5 januari 2015.

Varför det är meningsfullt (eller: verkligheten att uppdatera Android)

Det verkliga problemet är inte att Google inte kommer att uppdatera WebView, men att så många enheter fortfarande kör Android 4.3 och senare.

Det är lätt att förväxla symptomet - WebView-sårbarheter - med grundorsaken. Det verkliga problemet är inte att Google inte kommer att uppdatera Jelly Bean's WebView, men att så många enheter fortfarande kör Android 4.3 och nedan med liten möjlighet att uppdateras, oavsett vilken åtgärd Google kan vidta. Även om Google skulle utfärda korrigeringar för Jelly Beans WebView-kod (och Ice Cream Sandwich's och Gingerbread's), skulle användare fortfarande vänta på OEM (och operatörer) för att driva ut firmware-uppdateringar, precis som de väntar på Android 4.4 idag. Och om tillverkarna av dessa enheter var benägna att driva ut uppdateringar alls, är chansen stor att de inte skulle fastna på Android 4.3 eller tidigare till att börja med.

Google fixade Jelly Bean webview-frågan för över ett år sedan. Patchen kallas Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 januari 2015

Ur Googles perspektiv släpptes fixingen för den här utgåvan för mer än ett år sedan med ankomsten av Android 4.4 KitKat. I en idealvärld skulle det vara de patch-OEM-apparater som tillämpades på deras Jelly Bean-telefoner, och som ett resultat skulle ingen köra Android 4.3 eller senare mer än ett år efter att 4.4 blev tillgängligt. Trots ansträngningar på flera fronter är Android-uppdateringar tyvärr något av en crapshoot.

Men det finns ett silverfoder - Googles åtgärder för att se till att WebView är lättare att korrigera i Android 5.0 och senare.

Vad nu?

Eftersom Google inte kommer att utveckla patchar till Jelly Bean's WebView, är det upp till OEM-tillverkare att utveckla och rulla ut sina egna korrigeringar på berörda telefoner och surfplattor. Med tanke på att dessa enheter redan kör en ganska gammal version av operativsystemet håller vi inte andan för att tillverkare och operatörer ska kunna distribuera någonting i tid. Och för att vara tydlig skulle det sannolikt vara fallet oavsett om Google utvecklade sina egna Jelly Bean WebView-lappar eller inte.

Googles redan vidtagna åtgärder för att se till att WebView kan hålla sig uppdaterad i Lollipop.

Om du kör Android 4.3 eller senare rekommenderar vi att du byter till en webbläsare som inte använder WebView, till exempel Google Chrome eller Mozilla Firefox. När det gäller att skydda dig själv i andra appar som använder WebViews är det alltid en bra idé att bara installera appar du litar på och vidta grundläggande försiktighetsåtgärder när du surfar på webben. Med Facebook till exempel kan du inaktivera den inbyggda webbläsaren och öppna webblänkar i din webbläsare du väljer.

WebView är en svåruppdaterad del av Android OS som är svårt att uppdatera och är ett uppenbart mål för alla som vill hitta Android-exploater som påverkar ett stort antal människor, och som inte kan omedelbart upphävas av en appuppdatering. Det är säkert varför Google har gjort det möjligt att uppdatera WebView oberoende av operativsystemet i Android 5.0 och senare. Om liknande sårbarheter upptäcktes i Lollipops WebView, skulle Google helt enkelt skjuta ut en uppdatering genom Play Store och göra det med det. På grund av Android-karaktären kommer det dock att ta tid för Lollipop att bli någonstans nära lika utbredd som Jelly Bean. Och det betyder att det kan gå flera år innan majoriteten av Android-användare drar nytta av den nya, modulära WebView-implementeringen.