Comprendre la revisió web i els pedaços de seguretat d’android

Una recent revelació que Google ja no està desenvolupant pedaços de seguretat per al component "WebView" d'Android a Jelly Bean i anteriors ha tornat a posar un punt de mira sobre la seguretat d'Android i els reptes que comporta la seguretat de mil milions de dispositius actius. Per primera vegada revelada per Metasploit el 12 de gener, la posició de Google en l'actualització d'aquest component Android central ha estat àmpliament informat en els dies següents.

Què és exactament WebView i què significa la posició de Google sobre les actualitzacions de WebView per als propietaris de dispositius Android? I si seguiu executant Jelly Bean, què podeu fer per minimitzar el risc? Efectuarem una ullada detallada després de la pausa.

Primeres coses: què és WebView?

Veieu una pàgina web en qualsevol cosa que no sigui Chrome? És probable que estigueu buscant una WebView.

WebView és la part del sistema operatiu Android responsable de la reproducció de pàgines web a la majoria d’ aplicacions d’Android. Si veieu contingut web en una aplicació per a Android, és probable que estigueu buscant una WebView. L’excepció principal d’aquesta regla és Google Chrome per a Android, que en canvi utilitza el seu propi motor de representació, integrat a l’aplicació. (El mateix passa amb alguns navegadors Android de tercers com Firefox.)

En versions anteriors d'Android (4.3 i posteriors), WebView utilitza codi basat en Webkit d'Apple, la mateixa tecnologia del navegador Safari. A Android 4.4 i versions posteriors, WebView es basa en Chromium, la base de codi obert de Google Chrome (que utilitza el motor de Google Blink.). A Android 5.0, WebView es va desglossar com una aplicació separada, probablement per permetre actualitzacions puntuals a través de Google Play sense necessitat que es publiquessin actualitzacions de firmware.

Què està passant?

Els investigadors de seguretat de Metasploit, després d’haver descobert diverses explotacions de seguretat al component WebView d’Android 4.3 i enviar-les a Google, han publicat un correu electrònic a [email protected] revelant que generalment Google no desenvolupa pedaços per a versions anteriors a Android 4.4 de WebView..

Els extractes de correu electrònic publicats per la presa de venda es van llegir:

"Si la versió afectada és anterior a 4.4, generalment no desenvolupem els pegats nosaltres mateixos, però sí que rebem els parches amb l'informe per considerar-ho. A excepció de la notificació de fabricants OEM, no podrem actuar en cap informe que afecti les versions abans de la 4.4. no van acompanyats amb un pegat ".

Per què és dolent?

Tal com assenyala Metasploit, actualment més del 60 per cent dels dispositius Android actius estan executant Jelly Bean (Android 4.1-4.3) o anteriorment, deixant-los oberts a les molèsties basades en la web quan navegueu per un WebView. Això és especialment preocupant per a aquells d'Android 4.3 o posteriors que utilitzin navegadors web integrats de fabricants com HTC, Samsung i LG (per exemple tres), que utilitzen WebViews per mostrar contingut de la web.

El fet que Google no desenvolupi de forma activa solucions per a aplicacions antigues de WebView significa que els fabricants OEM corresponen a enganxar aquestes coses per compte propi.

Els propietaris d'Android 4.0-4.3 que utilitzin navegadors que no siguin WebView com Chrome o Firefox no estaran exposats a aquestes vulnerabilitats quan facin servir el seu navegador web que triï. No obstant això, encara podrien estar en risc si el WebView d’una aplicació de tercers els dirigeixi a un lloc maliciós. Això és menys probable que córrer amb programari maliciós en la navegació web regular, tot i que, ja que les aplicacions d’alt perfil com Feedly i Facebook utilitzen WebViews per mostrar contingut de tercers, és molt impossible.

Nombres de versió de plataforma d'Android del mes que finalitzen el 5 de gener de 2015.

Per què té sentit (o: la realitat d'actualitzar Android)

El veritable problema no és que Google no actualitzi WebView, sinó que tants dispositius encara funcionen amb Android 4.3 i versions posteriors.

És fàcil confondre el símptoma: les vulnerabilitats de WebView amb la causa principal. El veritable problema no és que Google no actualitzi el WebView de Jelly Bean, sinó que tants dispositius encara funcionen amb Android 4.3 i per sota amb poques possibilitats de ser actualitzats, independentment de les accions que pugui prendre Google. Tot i que Google publiqués pedaços per al codi WebView de Jelly Bean (i Ice Cream Sandwich i Gingerbread's), els usuaris encara estarien esperant que els fabricants OEM i els operadors emetessin actualitzacions de firmware, tal i com esperen a Android 4.4 avui. I si els fabricants d’aquests dispositius s’incloguessin a llançar actualitzacions del tot, el més probable és que no es quedessin enganxats a Android 4.3 o anteriorment.

Google va solucionar el problema de visualització web de Jelly Bean fa més d’un any. El pegat es diu Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 de gener de 2015

Des de la perspectiva de Google, la solució per a aquest número es va publicar fa més d’un any amb l’arribada d’Android 4.4 KitKat. En un món ideal, es tracta dels fabricants de pedaços aplicats als telèfons Jelly Bean i, com a resultat, ningú funcionaria Android 4.3 o inferior a un any després que 4.4 estigués disponible. Malauradament, malgrat els esforços en diversos fronts, les actualitzacions d'Android segueixen sent alguna cosa difícil.

Però hi ha un revestiment de plata: els passos que fa Google fan que WebView sigui més fàcil de pegar-lo a Android 5.0 i versions posteriors.

Ara què?

Com que Google no desenvoluparà pegats al WebView de Jelly Bean, correspon als fabricants electrònics desenvolupar i desplegar les seves pròpies correccions en telèfons i tauletes afectats. Tenint en compte que aquests dispositius ja funcionen amb una versió bastant antiga del sistema operatiu, no volem que els fabricants i operadors puguin implementar res de manera puntual. I, és clar, seria el cas, independentment de si Google desenvolupés els seus propis pedaços de Jelly Bean WebView o no.

Els passos de Google ja han fet els passos per assegurar-se que WebView pugui mantenir-se al dia a Lollipop.

Si utilitzeu Android 4.3 o versions posteriors, us recomanem canviar a un navegador que no utilitza WebView, com Google Chrome o Mozilla Firefox. Pel que fa a protegir-se en altres aplicacions que utilitzin WebViews, sempre és convenient instal·lar només les aplicacions de confiança i prendre precaucions bàsiques quan navegueu pel web. Per exemple, Facebook us permet desactivar el navegador integrat i obrir enllaços web al navegador que vulgueu.

Com a part del sistema operatiu Android que té una web molt difícil d’actualitzar, WebView és un objectiu obvi per a qualsevol persona que vulgui trobar explotacions d’Android que afecten un gran nombre de persones, i que no es pot anul·lar immediatament per una actualització d’aplicació. És per això que Google ha permès actualitzar WebView independentment del sistema operatiu a Android 5.0 i versions posteriors. Si es descobrissin vulnerabilitats similars al WebView de Lollipop, Google simplement impulsaria una actualització a través de Play Store i s’aconseguiria amb aquesta. No obstant això, a causa de la naturalesa d'Android, passarà el temps perquè Lollipop es converteixi en qualsevol lloc tan estès com Jelly Bean. I això significa que podrien passar anys abans que la majoria d’usuaris d’Android es beneficiïn de la nova implementació modular de WebView.