Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» תוכנה
תוכנה

הבנת תיקוני אבטחה באינטרנט ו- Android

הבנת תיקוני אבטחה באינטרנט ו- Android

תוכן עניינים:

Anonim

הגילוי האחרון שגוגל כבר לא מפתחת תיקוני אבטחה לרכיב ה- "WebView" באנדרואיד ב- Jelly Bean וקודם לכן הציבה שוב זרקור לביטחון האנדרואיד, ואת האתגרים הכרוכים באבטחת המיליארד מכשירים פעילים בערך. לראשונה נחשף על ידי Metasploit ב- 12 בינואר, עמדתה של גוגל בעדכון רכיב אנדרואיד מרכזי זה דווחה רבות בימים שלאחר מכן.

אז מה בדיוק WebView, ומה המשמעות של עמדת גוגל בעדכוני WebView לבעלי מכשירי אנדרואיד? ואם אתה עדיין מנהל ג'לי שעועית, מה אתה יכול לעשות כדי לחקות את הסיכון? אנו נסתכל על הפרק לאחר ההפסקה.

ראשית הדברים הראשונים: מה זה WebView?

האם אתה רואה דף אינטרנט בשום דבר מלבד כרום? רוב הסיכויים שאתה מסתכל ב- WebView.

WebView הוא החלק של מערכת ההפעלה אנדרואיד האחראית על הצגת דפי אינטרנט ברוב אפליקציות האנדרואיד. אם אתה רואה תוכן אינטרנט באפליקציית Android, רוב הסיכויים שאתה מסתכל ב- WebView. החריג העיקרי לכלל זה הוא גוגל כרום לאנדרואיד, שבמקום זאת משתמש במנוע טיוח משלו, המובנה בתוך האפליקציה. (הדבר נכון גם לגבי כמה מדפדפני אנדרואיד של צד שלישי כמו Firefox.)

בגרסאות ישנות יותר של אנדרואיד (4.3 ומטה), WebView משתמש בקוד המבוסס על ה- Webkit של אפל - אותו טכנולוגיה שמאחורי דפדפן הספארי. באנדרואיד 4.4 ומעלה WebView מבוסס על Chromium, בסיס הקוד הפתוח של Google Chrome (המשתמש במנוע ה- Blink של גוגל). ב- Android 5.0, WebView פורץ כאפליקציה נפרדת, ככל הנראה כדי לאפשר עדכונים בזמן באמצעות Google Play מבלי לדרוש להוציא עדכוני קושחה.

מה קורה?

חוקרי אבטחה מ- Metasploit, לאחר שגילו כמה ניצולי אבטחה ברכיב WebView של אנדרואיד 4.3 והגישו אותם לגוגל, פרסמו דוא"ל מ- [email protected] וחשף כי גוגל בדרך כלל לא מפתחת טלאים עבור גרסאות WebView לפני אנדרואיד 4.4..

בקטעי הדוא"ל שפרסם השקע נכתב:

"אם הגרסה המושפעת היא לפני 4.4, בדרך כלל אנו לא מפתחים את התיקונים בעצמנו, אך מברכים על טלאים עם הדוח לצורך שיקול. מלבד הודעה על יצרני ציוד מקורי לא נוכל לנקוט בפעולה לגבי כל דוח המשפיע על גרסאות לפני 4.4 ש לא מלווים במדבקה."

למה זה רע?

כפי שמציין Metasploit, יותר מ -60 אחוז ממכשירי אנדרואיד הפעילים מפעילים כיום את ג'לי שעועית (אנדרואיד 4.1-4.3) או גרסאות קודמות, מה שעשוי להשאיר אותם פתוחים לקומנויות מבוססות אינטרנט בעת גלישה ב- WebView. זה מדאיג במיוחד עבור אלו ב- Android 4.3 ומטה המשתמשים בדפדפני אינטרנט מובנים של יצרנים כמו HTC, סמסונג ו- LG (אם רק שלושה), המשתמשים ב- WebViews כדי להציג תוכן מהאינטרנט.

העובדה שגוגל לא מפתחת באופן פעיל תיקונים ליישומי WebView ישנים פירושה שחייבים ליצרני ציוד מקורי לתקן את הדברים בעצמם.

בעלי אנדרואיד 4.0-4.3 המשתמשים בדפדפנים שאינם WebView כמו Chrome או Firefox לא ייחשפו לפגיעויות אלה בעת השימוש בדפדפן האינטרנט שלהם לפי בחירתם. עם זאת הם עדיין עשויים להיות בסיכון אם WebView של אפליקציה של צד שלישי מכוון אותם לאתר זדוני. זה פחות סביר מאשר להיתקל בתוכנה זדונית במהלך הגלישה הרגילה באינטרנט, אולם בהתחשב בכך שאפליקציות בעלות פרופיל גבוה כמו Feedly ופייסבוק משתמשים ב- WebViews כדי להציג תוכן של צד שלישי, זה רחוק מלהיות בלתי אפשרי.

מספרי גרסת פלטפורמת אנדרואיד לחודש שמסתיים ב -5 בינואר 2015.

מדוע זה הגיוני (או: המציאות של עדכון אנדרואיד)

הבעיה האמיתית אינה שגוגל לא תעדכן את WebView, אלא שמכשירים כה רבים עדיין מפעילים את אנדרואיד 4.3 ומטה.

קל לבלבל את הסימפטום - פגיעויות WebView - עם הגורם השורש. הבעיה האמיתית אינה שגוגל לא תעדכן את ה- WebView של Jelly Bean, אלא שמכשירים רבים כל כך עדיין מפעילים את אנדרואיד 4.3 ומטה עם סיכוי מועט לעדכון, ללא קשר לפעולה כלשהי שגוגל תנקוט בהם. אפילו אם גוגל הייתה מנפיקה טלאים לקוד ה- WebView של ג'לי בין (ושל גלידת סנדוויץ 'ושל ג'ינג'בר), המשתמשים עדיין היו מחכים ליצרני ציוד מקורי (וספקים) לדחוף עדכוני קושחה, בדיוק כפי שהם מחכים באנדרואיד 4.4 היום. ואם יצרני המכשירים הללו היו נוטים לדחוף עדכונים בכלל, רוב הסיכויים שהם לא יתקעו באנדרואיד 4.3 או קודם לכן מלכתחילה.

גוגל תיקן את סוגיית תצוגת הרשת Jelly Bean לפני למעלה משנה. התיקון נקרא אנדרואיד 4.4 KitKat.

- אלכס דובי (@alexdobie) 14 בינואר 2015

מנקודת המבט של גוגל, התיקון לסוגיה זו שוחרר לפני יותר משנה עם הגעתו של אנדרואיד 4.4 KitKat. בעולם אידיאלי, זה יהיה יצרני התיקיות המיושמים על מכשירי הטלפון שלהם עם ג'לי שעועית, וכתוצאה מכך אף אחד לא יפעיל את אנדרואיד 4.3 ומטה יותר משנה לאחר ש -4.4 הייתה זמינה. למרבה הצער, למרות המאמצים בחזיתות מרובות, עדכוני אנדרואיד נותרים דבר מהזבל.

אבל יש בטנה כסופה - גוגל נוקטת בצעדים להבטיח שקל יותר לתקן את WebView באנדרואיד 5.0 ומעלה.

מה עכשיו?

מכיוון שגוגל לא תפתח תיקונים ל- WebView של Jelly Bean, מתבקשים יצרני ציוד מקורי לפתח ולפרוס תיקונים משלהם בטלפונים ובטאבלטים המושפעים. בהתחשב בכך שהמכשירים האלה כבר מריצים גרסה ישנה למדי של מערכת ההפעלה, אנחנו לא עוצרים את נשימתנו כדי שיצרנים וספקים יפרוסו כל דבר בצורה מתוזמנת. וכדי שיהיה ברור, סביר להניח שזה יהיה המקרה, בין אם גוגל פיתחה טלאים משלה של Jelly Bean WebView או לא.

גוגל כבר נקטה בצעדים כדי להבטיח ש- WebView יוכל להיות מעודכן ב- Lollipop.

אם אתה מפעיל את Android 4.3 ומטה, אנו ממליצים לעבור לדפדפן שאינו משתמש ב- WebView, כגון Google Chrome או Mozilla Firefox. באשר להגנה על עצמך באפליקציות אחרות המשתמשות ב- WebViews, תמיד כדאי להתקין רק אפליקציות שאתה סומך עליהן, ולנקוט באמצעי זהירות בסיסיים בעת הגלישה באינטרנט. פייסבוק, למשל, מאפשרת לך להשבית את הדפדפן המובנה שלה ולפתוח קישורי אינטרנט בדפדפן שבחרת.

כחלק הפונה לאינטרנט במערכת ההפעלה אנדרואיד שקשה לעדכן אותה, WebView הוא יעד ברור לכל מי שרוצה למצוא ניצולי אנדרואיד שמשפיעים על מספר גדול של אנשים, וזה לא יכול לבטל מייד באמצעות עדכון אפליקציה. זו ללא ספק הסיבה שגוגל איפשרה לעדכן את WebView ללא תלות במערכת ההפעלה באנדרואיד 5.0 ומעלה. אם התגלו פגיעויות דומות ב- WebView של Lollipop, גוגל פשוט תדחוף עדכון דרך חנות Play ותעשה איתו. עם זאת, בגלל האופי של אנדרואיד, זה יקח זמן עד שהלק על מנת להפוך לכל מקום קרוב כמו נפוץ כמו ג'לי שעועית. וזה אומר שעברו שנים עד שרוב משתמשי אנדרואיד ירוויחו מההטמעה החדשה והמודולרית של WebView.

תוכנה

בחירת העורכים