Comprensione di webview e patch di sicurezza Android

Una recente rivelazione che Google non sta più sviluppando patch di sicurezza per il componente "WebView" di Android in Jelly Bean e precedenti ha nuovamente messo in luce la sicurezza di Android e le sfide legate alla protezione di circa un miliardo di dispositivi attivi. Rivelato per la prima volta da Metasploit il 12 gennaio, la posizione di Google sull'aggiornamento di questo componente Android centrale è stata ampiamente riportata nei giorni seguenti.

Cos'è esattamente WebView e cosa significa la posizione di Google sugli aggiornamenti WebView per i proprietari di dispositivi Android? E se stai ancora eseguendo Jelly Bean, cosa puoi fare per mimare il rischio? Daremo uno sguardo dettagliato dopo la pausa.

Per prima cosa: cos'è WebView?

Stai visualizzando una pagina web in qualcosa di diverso da Chrome? È probabile che tu stia guardando un WebView.

WebView è la parte del sistema operativo Android responsabile del rendering delle pagine Web nella maggior parte delle app Android. Se vedi contenuti Web in un'app Android, è probabile che tu stia guardando un WebView. La principale eccezione a questa regola è Google Chrome per Android, che utilizza invece il proprio motore di rendering, integrato nell'app. (Lo stesso vale per alcuni browser Android di terze parti come Firefox.)

Nelle versioni precedenti di Android (4.3 e precedenti), WebView utilizza il codice basato sul Webkit di Apple, la stessa tecnologia dietro il browser Safari. In Android 4.4 e versioni successive, WebView si basa su Chromium, la base open source di Google Chrome (che utilizza il motore Blink di Google). In Android 5.0, WebView è stato suddiviso come app separata, presumibilmente per consentire aggiornamenti tempestivi tramite Google Play senza richiedere l'emissione di aggiornamenti del firmware.

Cosa sta succedendo?

I ricercatori sulla sicurezza di Metasploit, dopo aver scoperto diversi exploit di sicurezza nel componente WebView di Android 4.3 e averli inviati a Google, hanno pubblicato un'e-mail da [email protected] rivelando che Google generalmente non sviluppa patch per le versioni 4.4 di WebView precedenti ad Android.

Gli estratti di e-mail pubblicati dall'outlet recitano:

"Se la versione interessata è precedente alla 4.4, generalmente non sviluppiamo noi stessi le patch, ma accogliamo con favore le patch con il report. A parte la notifica agli OEM, non saremo in grado di intervenire su alcun report che interessa le versioni precedenti alla 4.4 che non sono accompagnati da una patch ".

Perché è male?

Come sottolineato da Metasploit, oltre il 60 percento dei dispositivi Android attivi esegue attualmente Jelly Bean (Android 4.1-4.3) o versioni precedenti, lasciandoli potenzialmente aperti a dispositivi basati sul Web durante la navigazione attraverso un WebView. Ciò è particolarmente preoccupante per quelli su Android 4.3 e versioni precedenti che utilizzano browser Web integrati di produttori come HTC, Samsung e LG (per citarne solo tre), che utilizzano WebView per visualizzare contenuti dal Web.

Il fatto che Google non stia sviluppando attivamente correzioni per le precedenti implementazioni di WebView significa che spetta agli OEM riparare queste cose da soli.

I proprietari di Android 4.0-4.3 che utilizzano browser non WebView come Chrome o Firefox non saranno esposti a queste vulnerabilità quando utilizzano il browser Web preferito. Tuttavia potrebbero essere ancora a rischio se WebView di un'app di terze parti li indirizza a un sito dannoso. Questo è meno probabile che imbattersi in malware nel corso della normale navigazione Web, tuttavia, dato che app di alto profilo come Feedly e Facebook utilizzano WebView per visualizzare contenuti di terze parti, è tutt'altro che impossibile.

Numeri di versione della piattaforma Android per il mese che termina il 5 gennaio 2015.

Perché ha un senso (o: la realtà dell'aggiornamento di Android)

Il vero problema non è che Google non aggiorna WebView, ma che così tanti dispositivi eseguono ancora Android 4.3 e versioni precedenti.

È facile confondere il sintomo - le vulnerabilità di WebView - con la causa principale. Il vero problema non è che Google non aggiornerà WebView di Jelly Bean, ma che così tanti dispositivi eseguono ancora Android 4.3 e versioni precedenti con poche prospettive di aggiornamento, indipendentemente da qualsiasi azione Google possa intraprendere. Anche se Google dovesse rilasciare patch per il codice WebView di Jelly Bean (e Ice Cream Sandwich e Gingerbread's), gli utenti aspetterebbero comunque agli OEM (e ai corrieri) di inviare aggiornamenti del firmware, proprio come stanno aspettando Android 4.4 oggi. E se i produttori di questi dispositivi fossero propensi a distribuire aggiornamenti, è probabile che non rimangano bloccati su Android 4.3 o versioni precedenti.

Google ha risolto il problema della visualizzazione web di Jelly Bean oltre un anno fa. La patch si chiama Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 gennaio 2015

Dal punto di vista di Google, la correzione di questo problema è stata rilasciata più di un anno fa con l'arrivo di Android 4.4 KitKat. In un mondo ideale, quella sarebbe la patch OEM applicata ai loro telefoni Jelly Bean, e di conseguenza nessuno avrebbe eseguito Android 4.3 o inferiore più di un anno dopo che 4.4 fosse diventato disponibile. Sfortunatamente, nonostante gli sforzi su più fronti, gli aggiornamenti di Android rimangono una sorta di crapshoot.

Ma c'è un lato positivo: Google sta adottando misure per garantire che WebView sia più facile da correggere in Android 5.0 e versioni successive.

E adesso?

Poiché Google non svilupperà patch per WebView di Jelly Bean, spetta agli OEM sviluppare e implementare le proprie correzioni su telefoni e tablet interessati. Dato che questi dispositivi stanno già eseguendo una versione abbastanza vecchia del sistema operativo, non stiamo trattenendo il respiro per i produttori e i gestori per implementare qualsiasi cosa in modo tempestivo. E per essere chiari, questo sarebbe probabilmente il caso indipendentemente dal fatto che Google abbia sviluppato o meno le proprie patch Jelly Bean WebView.

Google ha già preso provvedimenti per assicurarsi che WebView possa rimanere aggiornato su Lollipop.

Se usi Android 4.3 o versioni precedenti, ti consigliamo di passare a un browser che non utilizza WebView, come Google Chrome o Mozilla Firefox. Per quanto riguarda la protezione in altre app che utilizzano WebView, è sempre una buona idea installare solo app di cui ti fidi e prendere le precauzioni di base durante la navigazione sul Web. Facebook, ad esempio, ti consente di disabilitare il browser integrato e di aprire i collegamenti Web nel browser che preferisci.

Essendo una parte del sistema operativo Android rivolta al web che è difficile da aggiornare, WebView è un obiettivo ovvio per chiunque desideri trovare exploit Android che colpiscono un gran numero di persone e che non possono essere immediatamente annullati da un aggiornamento dell'app. Questo è sicuramente il motivo per cui Google ha reso possibile aggiornare WebView indipendentemente dal sistema operativo in Android 5.0 e versioni successive. Se fossero state scoperte vulnerabilità simili nel WebView di Lollipop, Google avrebbe semplicemente inviato un aggiornamento attraverso il Play Store e l'avrebbe fatto. Tuttavia, a causa della natura di Android, ci vorrà del tempo prima che Lollipop diventi molto diffuso quanto Jelly Bean. Ciò significa che potrebbero passare anni prima che la maggior parte degli utenti Android tragga vantaggio dalla nuova implementazione modulare di WebView.