目录:
谷歌不再为Jelly Bean及其早期的Android“WebView”组件开发安全补丁的最新消息再次凸显了Android安全性,以及保护10亿左右活动设备所面临的挑战。 Metasploit于1月12日首次披露,谷歌在更新这款中央Android组件方面的立场在接下来的日子里得到了广泛的报道。
那么究竟什么是WebView,以及Google对WebView更新的立场对Android设备所有者意味着什么? 如果您还在运行Jelly Bean,您可以做些什么来最大限度地降低风险? 休息之后我们会详细介绍一下。
第一件事:什么是WebView?
在除Chrome之外的任何内容中查看网页? 您可能正在查看WebView。
WebView是Android OS的一部分,负责在 大多数 Android应用程序中呈现网页。 如果您在Android应用中看到网页内容,那么您很可能正在查看WebView。 此规则的主要例外是Google Chrome for Android,它使用内置于应用程序中的自己的渲染引擎。 (对于像Firefox这样的第三方Android浏览器也是如此。)
在早期版本的Android(4.3及更低版本)中,WebView使用基于Apple Webkit的代码 - 与Safari浏览器背后的技术相同。 在Android 4.4及更高版本中,WebView基于Chromium,它是Google Chrome的开源基础(使用Google的Blink引擎)。 在Android 5.0中,WebView被分解为一个单独的应用程序,可能是为了通过Google Play及时更新,而无需发布固件更新。
这是怎么回事?
来自Metasploit的安全研究人员在发现Android 4.3的WebView组件中的几个安全漏洞并将其提交给Google之后,发布了一封来自 [email protected] 的电子邮件,显示Google通常不会为Android 4.4之前版本的WebView开发补丁。
该网站发布的电子邮件摘录如下:
“如果受影响的版本在4.4之前,我们通常不会自行开发补丁,但欢迎使用该报告进行补丁。除了通知OEM之外,我们将无法对任何影响4.4之前版本的报告采取措施不附带补丁。“
为什么不好?
正如 Metasploit 指出的那样,超过60%的活跃Android设备目前正在运行Jelly Bean(Android 4.1-4.3)或更早版本,这可能使他们在浏览WebView时对基于Web的恶意软件开放。 对于Android 4.3及以下版本的用户来说尤其令人担忧,他们使用HTC,三星和LG等制造商的内置网络浏览器(仅举三例),这些浏览器使用WebViews显示来自网络的内容。
谷歌没有积极开发旧版WebView实施的修复程序,这意味着OEM需要自己修补这些东西。
使用非WebView浏览器(如Chrome或Firefox)的Android 4.0-4.3所有者在使用其选择的Web浏览器时不会遇到这些漏洞。 但是,如果第三方应用程序的WebView将它们指向恶意站点,它们仍可能存在风险。 这比在常规网页浏览过程中遇到恶意软件的可能性小,但鉴于像Feedly和Facebook这样的高端应用程序使用WebViews来显示第三方内容,这远非不可能。
截至2015年1月5日的月份Android平台版本号。
为什么它有意义(或者:更新Android的现实)
真正的问题不是谷歌不会更新WebView,而是因为许多设备仍在运行Android 4.3及更低版本。
很容易将症状 - WebView漏洞 - 与根本原因混淆。 真正的问题不是谷歌不会更新Jelly Bean的WebView,而是有这么多设备仍在运行Android 4.3及更低版本,几乎没有更新的前景,无论Google可能采取什么行动。 即使Google要为Jelly Bean的WebView代码(以及Ice Cream Sandwich和Gingerbread's)发布补丁,用户仍然会等待OEM(和运营商)推出固件更新,就像他们今天在等待Android 4.4一样。 如果这些设备的制造商倾向于推出更新,那么很可能他们不会被困在Android 4.3或更早版本上。
谷歌在一年前修复了Jelly Bean webview问题。 该补丁称为Android 4.4 KitKat。
- Alex Dobie(@alexdobie)2015年1月14日
从谷歌的角度来看,这个问题的解决方案是在一年多前因Android 4.4 KitKat的问世而发布的。 在一个理想的世界中,这将是贴片OEM应用于他们的Jelly Bean手机,因此在4.4可用之后,没有人会运行Android 4.3或更低的一年。 不幸的是,尽管在多个方面做出了努力,Android更新仍然是一个废话。
但是有一线希望 - 谷歌正在采取措施确保在Android 5.0及更高版本中更容易修补WebView。
现在怎么办?
由于Google不会为Jelly Bean的WebView开发补丁,因此OEM需要在受影响的手机和平板电脑上开发和推出自己的修复程序。 鉴于这些设备已经运行了相当旧版本的操作系统,我们并没有屏住呼吸,让制造商和运营商及时部署任何东西。 很明显,无论Google是否开发了自己的Jelly Bean WebView补丁,情况都可能如此。
谷歌已经采取措施确保WebView能够在Lollipop中保持最新状态。
如果您运行的是Android 4.3或更低版本,我们建议您切换到不使用WebView的浏览器,例如Google Chrome或Mozilla Firefox。 至于在使用WebView的其他应用程序中保护自己,最好只安装您信任的应用程序,并在浏览Web时采取基本的预防措施。 例如,Facebook允许您禁用其内置浏览器并在您选择的浏览器中打开Web链接。
作为难以更新的Android操作系统的面向Web的部分,WebView对于想要查找影响大量人员的Android漏洞的任何人来说都是一个明显的目标,并且不能立即通过应用更新来抵消。 这肯定是为什么谷歌可以独立于Android 5.0及更高版本的操作系统更新WebView。 如果在Lollipop的WebView中发现类似的漏洞,谷歌只会通过Play商店推出更新并完成更新。 然而,由于Android的性质,Lollipop需要时间才能变得像Jelly Bean一样广泛。 这意味着大多数Android用户可能需要多年时间才能从新的模块化WebView实施中受益。
