Web görünümü ve android güvenlik yamaları anlama

Google'ın artık Jelly Bean'deki Android'in "WebView" bileşeni için güvenlik düzeltme ekleri oluşturmadığı ve önceki bir açıklama, bir kez daha Android güvenliğine ve bir milyar kadar aktif cihazı güvence altına almanın zorluklarına dikkat çekti. İlk önce 12 Ocak'ta Metasploit tarafından açıklanan Google’ın bu merkezi Android bileşenini güncelleme konusundaki tutumu önümüzdeki günlerde yaygın olarak bildirildi.

Peki, tam olarak WebView nedir ve Google’ın WebView güncellemelerine bakışı Android cihaz sahipleri için ne anlama geliyor? Ve hala Jelly Bean kullanıyorsanız, riski azaltmak için ne yapabilirsiniz? Aradan sonra ayrıntılı bir göz atacağız.

İlk önce ilk şeyler: WebView nedir?

Bir web sayfasını Chrome dışında herhangi bir şeyde görüntülemek? Muhtemelen bir WebView bakıyorsunuz.

WebView, çoğu Android uygulamasında web sayfaları oluşturmaktan sorumlu olan Android işletim sisteminin bir parçasıdır. Bir Android uygulamasında web içeriği görürseniz, bir WebView'a bakıyor olabilirsiniz. Bu kuralın en büyük istisnası, uygulamaya eklenmiş kendi oluşturma motorunu kullanan Android için Google Chrome'dur. (Aynı, Firefox gibi bazı üçüncü taraf Android tarayıcıları için de geçerlidir.)

Daha eski Android sürümlerinde (4.3 ve altı), WebView, Safari tarayıcısının ardındaki aynı teknoloji olan Apple'ın Webkitini temel alan kodu kullanır. Android 4.4 ve üstü sürümlerde, WebView, Google Chrome'un açık kaynak tabanı olan (Google'ın Blink motorunu kullanan) Chromium'u temel alır. Android 5.0'da, muhtemelen Google Play üzerinden firmware güncellemelerinin yayınlanmasını gerektirmeden güncellemelere izin vermek için ayrı bir uygulama olarak WebView ayrıldı.

Neler oluyor?

Metasploit’ten güvenlik araştırmacıları, Android 4.3’ün WebView bileşeninde birkaç güvenlik açığını keşfettikten ve Google’a gönderdikten sonra, Google’ın genellikle WebView’un Android 4.4 öncesi sürümleri için düzeltme ekleri oluşturmadığını açıklayan, [email protected] adresinden bir e-posta yayınladı..

Çıkış tarafından yayınlanan e-posta alıntıları okundu:

“Etkilenen sürüm 4.4'ten önceki bir sürüm ise, genellikle yamaları kendimiz geliştirmeyiz, ancak değerlendirilmek üzere rapora yamaları memnuniyetle karşılarız. OEM'leri bildirmekten başka, 4.4'ten önceki sürümleri etkileyen herhangi bir rapor üzerinde işlem yapamayacağız. bir yama ile eşlik edilmiyor."

Bu neden kötü?

Metasploit'in belirttiği gibi, aktif Android cihazların yüzde 60'ından fazlası şu anda Jelly Bean'i (Android 4.1-4.3) veya daha önceki bir sürümü kullanıyor, potansiyel olarak bir Web Görünümü'nde gezinirken onları web tabanlı ağlara açık bırakıyor. Bu özellikle, Android 4.3 ve altındaki kullanıcılar için, HTC, Samsung ve LG gibi üreticilerin yerleşik web tarayıcılarını (adlarına ancak üçe göre) kullanan ve web’deki içeriği görüntülemek için WebViews kullanan web kullanıcıları için endişe vericidir.

Google’ın daha eski WebView uygulamaları için aktif olarak düzeltmeler geliştirmemesi, bu şeyleri kendi başlarına yamalamanın OEM'lerine kalması anlamına geliyor.

Chrome veya Firefox gibi WebView dışındaki tarayıcıları kullanan Android 4.0-4.3 sahipleri, tercih ettikleri web tarayıcılarını kullanırken bu güvenlik açıklarına maruz kalmayacaklar. Ancak, üçüncü taraf bir uygulamanın WebView’i onları kötü amaçlı bir siteye yönlendirirse, yine de risk altında olabilirler. Bu, düzenli web taraması sırasında kötü amaçlı yazılımlara girmekten daha az olasıdır, ancak Feedly ve Facebook gibi yüksek profilli uygulamaların, üçüncü taraf içeriğini görüntülemek için WebViews kullanması imkansızdır.

5 Ocak 2015 tarihinde sona eren aya ait Android platformu sürüm numaraları.

Neden mantıklı geliyor (ya da: Android güncelleme gerçeği)

Asıl sorun, Google’ın WebView’i güncellememesi değil, pek çok cihazın hala Android 4.3 ve daha düşük sürümleri çalıştırması.

Belirti - WebView güvenlik açıklarını - temel nedeni ile karıştırmak kolaydır. Asıl sorun, Google’ın Jelly Bean’in WebView’ını güncellememesi değil, pek çok cihazın Google’ın 4.3 ve daha düşük sürümlerini kullanmaya devam etmesine rağmen, Google’ın gerçekleştirebileceği herhangi bir işlemden bağımsız olarak güncellenme olasılığı çok düşük. Google Jelly Bean'in WebView kodu (ve Ice Cream Sandwich'ler ve Gingerbread'ler) için yamalar yayınlamış olsa bile, kullanıcılar bugün Android 4.4'te bekledikleri gibi bellenim güncellemelerini çıkarmak için OEM'leri (ve taşıyıcıları) bekliyorlardı. Ve eğer bu cihazların üreticileri güncelleme yapmaktan vazgeçmeye meyilliyse, başlama şansı Android 4.3 ya da daha önceki sürümlerde sıkışmış olmaz.

Google bir yıl önce Jelly Bean web görünümü sorununu düzeltti. Yama Android 4.4 KitKat olarak adlandırılıyor.

- Alex Dobie (@alexdobie) 14 Ocak 2015

Google’ın bakış açısına göre, bu sorunun çözümü Android 4.4 KitKat’ın gelmesi ile bir yıldan daha uzun bir süre önce yayımlandı. İdeal bir dünyada, bu Jelly Bean telefonlarına uygulanan yama OEM'leri olacaktı ve bunun sonucunda hiç kimse 4.4'ten sonra piyasaya sürüldükten bir yıldan daha fazla bir süre Android 4.3 veya daha düşük bir sürüm kullanmayacaktı. Ne yazık ki, birçok cephede yapılan çabalara rağmen, Android güncellemeleri bir crapshoot gibi kalıyor.

Ancak gümüş renkli bir astar var - Google, WebView'ın Android 5.0 ve sonraki sürümlerinde daha kolay yamasını sağlamak için adımlar atıyor.

Şimdi ne var?

Google, Jelly Bean'in WebView'ına yamalar geliştirmeyeceğinden, etkilenen telefonlarda ve tabletlerde kendi düzeltmelerini geliştirmek ve sunmak OEM'lere kalmış durumda. Bu cihazların zaten işletim sisteminin oldukça eski bir sürümünü kullandığı göz önüne alındığında, üreticiler ve taşıyıcıların bir şeyi zamanında dağıtması için nefesimizi tutmuyoruz. Ve açık olmak gerekirse, Google’ın kendi Jelly Bean WebView yamasını geliştirip geliştirmemesine bakılmaksızın bu durum geçerli olacaktır.

Google, WebView’ün Lollipop’ta güncel kalmasını sağlamak için çoktan adım attı.

4.3 veya daha düşük Android kullanıyorsanız, Google Chrome veya Mozilla Firefox gibi WebView kullanmayan bir tarayıcıya geçmenizi öneririz. Kendinizi WebViews kullanan diğer uygulamalarda korumaya gelince, yalnızca güvendiğiniz uygulamaları yüklemek ve web'de gezinirken temel önlemleri almak her zaman iyi bir fikirdir. Örneğin, Facebook, dahili tarayıcısını devre dışı bırakmanıza ve tercih ettiğiniz tarayıcınızda web bağlantılarını açmanıza olanak tanır.

Güncellemesi zor olan ve Android işletim sisteminin web'e bakan bir parçası olan WebView, çok sayıda kişiyi etkileyen ve bir uygulama güncellemesi tarafından derhal geçersiz kılınamayan Android keşiflerini bulmak isteyen herkes için açık bir hedeftir. Bu kesinlikle Google’ın Android 5.0 ve sonraki sürümlerde WebView’i işletim sisteminden bağımsız olarak güncellemesini mümkün kılmıştır. Lollipop'un WebView'ında da benzer güvenlik açıkları tespit edildiyse, Google Play Store'dan bir güncelleme gönderir ve bununla birlikte çalışır. Bununla birlikte, Android'in doğası gereği, Lollipop'un Jelly Bean kadar yaygın bir yerde olması zaman alacak. Bu, Android kullanıcılarının çoğunun yeni, modüler WebView uygulamasından faydalanmasının yıllar önce olabileceği anlamına gelir.