Logo th.androidermagazine.com
Logo th.androidermagazine.com
» ซอฟต์แวร์
ซอฟต์แวร์

ทำความเข้าใจกับ webview และ android patches

ทำความเข้าใจกับ webview และ android patches

สารบัญ:

Anonim

การเปิดเผยเมื่อเร็ว ๆ นี้ว่า Google ไม่ได้พัฒนาซอฟต์แวร์รักษาความปลอดภัยสำหรับส่วนประกอบ "WebView" ของ Android ใน Jelly Bean อีกต่อไปและก่อนหน้านี้ได้ให้ความสำคัญกับการรักษาความปลอดภัย Android อีกครั้งและความท้าทายที่เกี่ยวข้องกับการรักษาความปลอดภัย เปิดเผยครั้งแรกโดย Metasploit เมื่อวันที่ 12 มกราคมจุดยืนของ Google ในการอัปเดตส่วนประกอบ Android กลางนี้ได้รับการรายงานอย่างกว้างขวางในไม่กี่วันถัดไป

ดังนั้น WebView คืออะไรและจุดยืนของ Google ในการอัปเดต WebView มีความหมายอย่างไรสำหรับเจ้าของอุปกรณ์ Android และถ้าคุณยังคงใช้ Jelly Bean อยู่คุณจะทำอย่างไรเพื่อลดความเสี่ยง เราจะดูรายละเอียดหลังจากหยุดพัก

สิ่งแรกสิ่งแรกคือ WebView คืออะไร

กำลังดูหน้าเว็บในสิ่งใดนอกจาก Chrome? โอกาสที่คุณกำลังดู WebView

WebView เป็นส่วนหนึ่งของระบบปฏิบัติการ Android ที่รับผิดชอบในการแสดงผลหน้าเว็บในแอพ Android ส่วนใหญ่ หากคุณเห็นเนื้อหาเว็บในแอพ Android โอกาสที่คุณจะดู WebView ข้อยกเว้นที่สำคัญของกฎนี้คือ Google Chrome สำหรับ Android ซึ่งใช้เครื่องมือแสดงผลของตัวเองแทนที่จะสร้างไว้ในแอป (เช่นเดียวกันสำหรับเบราว์เซอร์ Android ของบุคคลที่สามเช่น Firefox)

ใน Android เวอร์ชั่นเก่า (4.3 และต่ำกว่า) WebView ใช้รหัสตาม Webkit ของ Apple ซึ่งเป็นเทคโนโลยีเดียวกับเบราว์เซอร์ Safari ใน Android 4.4 ขึ้นไป WebView ใช้พื้นฐานของ Chromium ซึ่งเป็นฐานโอเพ่นซอร์สของ Google Chrome (ซึ่งใช้เครื่องมือ Blink ของ Google) ใน Android 5.0 WebView ถูกแยกออกเป็นแอพแยกต่างหากน่าจะอนุญาตให้อัปเดตผ่าน Google Play ได้ทันเวลาโดยไม่ต้องออกเฟิร์มแวร์อัปเดต

เกิดอะไรขึ้น?

นักวิจัยด้านความปลอดภัยจาก Metasploit หลังจากค้นพบช่องโหว่ด้านความปลอดภัยหลายอย่างในองค์ประกอบ WebView ของ Android 4.3 และส่งไปยัง Google ได้เผยแพร่อีเมลจาก [email protected] เผยให้เห็นว่าโดยทั่วไปแล้ว Google จะไม่พัฒนาแพตช์สำหรับ WebView รุ่นก่อน Android 4.4.

ข้อความที่ตัดตอนมาทางอีเมลที่เผยแพร่โดยร้านอ่าน:

"หากเวอร์ชันที่ได้รับผลกระทบนั้นมาก่อน 4.4 โดยทั่วไปเราจะไม่พัฒนาตัวแก้ไขเอง แต่ยินดีต้อนรับตัวแก้ไขพร้อมรายงานเพื่อการพิจารณานอกเหนือจากการแจ้ง OEM เราจะไม่สามารถดำเนินการกับรายงานใด ๆ ที่มีผลต่อเวอร์ชันก่อนหน้า 4.4 ได้ ไม่มาพร้อมกับแพทช์"

ทำไมมันไม่ดี?

เมื่อ Metasploit ชี้ให้เห็นว่าอุปกรณ์ Android ที่ใช้งานมากกว่าร้อยละ 60 กำลังใช้งาน Jelly Bean (Android 4.1-4.3) หรือก่อนหน้านี้ซึ่งอาจทำให้พวกเขาเปิดรับสิ่งสกปรกบนเว็บเมื่อเรียกดูผ่าน WebView สิ่งนี้น่าเป็นห่วงอย่างยิ่งสำหรับผู้ใช้บน Android 4.3 และต่ำกว่าโดยใช้เว็บเบราว์เซอร์ในตัวจากผู้ผลิตเช่น HTC, Samsung และ LG (ในชื่อ แต่สาม) ซึ่งใช้ WebViews เพื่อแสดงเนื้อหาจากเว็บ

ความจริงที่ว่า Google ไม่ได้มีการพัฒนาอย่างแข็งขันสำหรับการใช้งาน WebView แบบเก่าหมายความว่ามันขึ้นอยู่กับ OEM ที่จะแก้ไขสิ่งนี้ด้วยตัวเอง

เจ้าของ Android 4.0-4.3 ที่ใช้เบราว์เซอร์ที่ไม่ใช่ WebView เช่น Chrome หรือ Firefox จะไม่พบช่องโหว่เหล่านี้เมื่อใช้เว็บเบราว์เซอร์ที่เลือกไว้ อย่างไรก็ตามพวกเขายังมีความเสี่ยงหาก WebView ของแอปบุคคลที่สามนำพวกเขาไปยังไซต์ที่เป็นอันตราย สิ่งนี้มีโอกาสน้อยกว่าการใช้มัลแวร์ในระหว่างการท่องเว็บเป็นประจำอย่างไรก็ตามเนื่องจากแอปที่มีโปรไฟล์สูงเช่น Feedly และ Facebook ใช้ WebViews เพื่อแสดงเนื้อหาของบุคคลที่สาม

หมายเลขเวอร์ชันแพลตฟอร์ม Android สำหรับเดือนสิ้นสุดวันที่ 5 มกราคม 2558

ทำไมการจัดเรียงจึงสมเหตุสมผล (หรือ: ความเป็นจริงของการอัปเดต Android)

ปัญหาจริงไม่ใช่ว่า Google จะไม่อัปเดต WebView แต่อุปกรณ์จำนวนมากยังคงใช้ Android 4.3 ขึ้นไป

มันง่ายที่จะทำให้เกิดความสับสนกับอาการ - ช่องโหว่ของ WebView - ด้วยสาเหตุที่แท้จริง ปัญหาจริงไม่ใช่ว่า Google จะไม่อัปเดต WebView ของ Jelly Bean แต่อุปกรณ์จำนวนมากยังคงใช้ Android 4.3 ขึ้นไปและมีโอกาสน้อยที่จะได้รับการอัปเดตไม่ว่า Google จะทำอะไรก็ตาม แม้ว่า Google จะออกแพตช์สำหรับรหัส WebView ของ Jelly Bean (และ Ice Cream Sandwich's และ Gingerbread's) ผู้ใช้ยังคงรอ OEM (และผู้ให้บริการ) เพื่อผลักดันการอัปเดตเฟิร์มแวร์เหมือนที่พวกเขารอบน Android 4.4 วันนี้ และหากผู้ผลิตอุปกรณ์เหล่านี้มีแนวโน้มที่จะผลักดันการอัปเดตเลยโอกาสที่พวกเขาจะไม่ติดอยู่บน Android 4.3 หรือรุ่นก่อนหน้านี้

Google แก้ไขปัญหาการดูเว็บไซต์ Jelly Bean เมื่อปีที่แล้ว แพตช์นี้เรียกว่า Android 4.4 KitKat

- Alex Dobie (@alexdobie) 14 มกราคม 2558

จากมุมมองของ Google การแก้ไขปัญหานี้ได้รับการเผยแพร่มากกว่าหนึ่งปีที่ผ่านมาพร้อมกับ Android 4.4 KitKat ในโลกในอุดมคตินั่นคือ OEM patch ที่ใช้กับโทรศัพท์ Jelly Bean ของพวกเขาและดังนั้นจึงไม่มีใครใช้ Android 4.3 หรือต่ำกว่าหนึ่งปีหลังจากที่ 4.4 พร้อมใช้งาน น่าเสียดายที่แม้จะมีความพยายามในหลาย ๆ ด้าน แต่การอัปเดต Android ยังคงเป็นสิ่งที่เกิดขึ้นในใจ

แต่มีซับในที่เป็นสีเงิน - Google กำลังดำเนินการเพื่อให้มั่นใจว่า WebView ง่ายต่อการติดตั้งใน Android 5.0 ขึ้นไป

เกิดอะไรขึ้น

เนื่องจาก Google จะไม่พัฒนาแพตช์ให้เป็น WebView ของ Jelly Bean ขึ้นอยู่กับ OEM เพื่อพัฒนาและแผ่ขยายการแก้ไขของตนเองในโทรศัพท์และแท็บเล็ตที่ได้รับผลกระทบ ระบุว่าอุปกรณ์เหล่านี้ใช้ระบบปฏิบัติการเวอร์ชันเก่าอยู่แล้วเราไม่ได้หยุดหายใจสำหรับผู้ผลิตและผู้ให้บริการในการปรับใช้ทุกอย่างตามเวลาที่กำหนด และชัดเจนว่าเป็นไปได้ว่าไม่ว่า Google จะพัฒนา Jelly Bean WebView patches ของตนเองหรือไม่ก็ตาม

ขั้นตอนของ Google ได้ดำเนินการแล้วเพื่อให้แน่ใจว่า WebView สามารถอัปเดตล่าสุดใน Lollipop

หากคุณใช้ Android 4.3 หรือต่ำกว่าเราขอแนะนำให้เปลี่ยนไปใช้เบราว์เซอร์ที่ไม่ได้ใช้ WebView เช่น Google Chrome หรือ Mozilla Firefox สำหรับการปกป้องตัวคุณเองในแอพอื่น ๆ ที่ใช้ WebViews เป็นความคิดที่ดีเสมอที่จะติดตั้งแอพที่คุณไว้ใจและใช้ความระมัดระวังขั้นพื้นฐานเมื่อเรียกดูเว็บ ตัวอย่างเช่น Facebook ช่วยให้คุณปิดการใช้งานเบราว์เซอร์ในตัวและเปิดเว็บลิงค์ในเบราว์เซอร์ที่คุณเลือก

ในฐานะที่เป็นส่วนหนึ่งของระบบปฏิบัติการ Android ที่ยากต่อการอัพเดท WebView เป็นเป้าหมายที่ชัดเจนสำหรับทุกคนที่ต้องการหาประโยชน์จาก Android ที่ส่งผลกระทบต่อผู้คนจำนวนมากและไม่สามารถทำให้เป็นโมฆะได้ทันทีโดยการอัปเดตแอป นั่นเป็นเหตุผลว่าทำไม Google จึงทำให้การอัปเดต WebView เป็นอิสระจากระบบปฏิบัติการใน Android 5.0 ขึ้นไป หากพบช่องโหว่ที่คล้ายกันใน WebView ของ Lollipop Google ก็เพียงแค่ผลักดันการอัปเดตผ่าน Play Store และดำเนินการให้สำเร็จ อย่างไรก็ตามเนื่องจากลักษณะของ Android มันจะต้องใช้เวลาสำหรับ Lollipop ที่จะกลายเป็นทุกที่ที่ใกล้เคียงกับ Jelly Bean และนั่นหมายความว่าอาจเป็นเวลาหลายปีก่อนที่ผู้ใช้ Android ส่วนใหญ่จะได้รับประโยชน์จากการใช้งาน WebView แบบแยกส่วน

ซอฟต์แวร์

ตัวเลือกของบรรณาธิการ