Logo ar.androidermagazine.com
Logo ar.androidermagazine.com

فهم عرض الويب وبقع الأمن الروبوت

جدول المحتويات:

Anonim

كشف حديث مؤخرًا عن أن Google لم تعد تعمل على تطوير تصحيحات أمان لمكون "WebView" في Android في Jelly Bean والإصدارات الأقدم من جديد ، وقد سلط الضوء مرة أخرى على أمان Android ، والتحديات التي ينطوي عليها تأمين مليار جهاز نشط أو نحو ذلك. كشفت لأول مرة بواسطة Metasploit في 12 يناير ، تم الإبلاغ عن موقف Google بشأن تحديث مكون Android المركزي على نطاق واسع في الأيام التالية.

فما هو بالضبط WebView ، وماذا يعني موقف جوجل على تحديثات WebView لأصحاب أجهزة Android؟ وإذا كنت لا تزال تشغل جيلي بين ، فما الذي يمكنك فعله لتقليل المخاطر؟ سنلقي نظرة مفصلة بعد الاستراحة.

أول الأشياء أولاً: ما المقصود بـ WebView؟

هل تريد عرض صفحة ويب في أي شيء إلى جانب Chrome؟ هناك احتمالات أنك تبحث في WebView.

يعد WebView جزءًا من نظام التشغيل Android المسؤول عن تقديم صفحات الويب في معظم تطبيقات Android. إذا رأيت محتوى الويب في تطبيق Android ، فمن المحتمل أنك تبحث في WebView. الاستثناء الرئيسي لهذه القاعدة هو Google Chrome لنظام Android ، والذي يستخدم محرك العرض الخاص به ، والمضمّن في التطبيق. (ينطبق الشيء نفسه على بعض متصفحات Android التابعة لجهات خارجية مثل Firefox.)

في الإصدارات الأقدم من Android (4.3 وما دون) ، يستخدم WebView رمزًا يستند إلى Webkit من Apple - وهو نفس التقنية وراء متصفح Safari. في Android 4.4 والإصدارات الأحدث ، يستند WebView إلى Chromium ، قاعدة المصادر المفتوحة لـ Google Chrome (التي تستخدم محرك Blink من Google.). في Android 5.0 ، تم تقسيم WebView كتطبيق منفصل ، من المفترض أن يسمح بالتحديثات في الوقت المناسب من خلال Google Play دون الحاجة إلى إصدار تحديثات البرامج الثابتة.

ماذا يحدث هنا؟

قام باحثو الأمان من Metasploit ، بعد اكتشاف عدة مآثر أمنية في مكون WebView الخاص بـ Android 4.3 وتقديمهم إلى Google ، بنشر رسالة بريد إلكتروني من [email protected] يكشفون فيها عن أن Google عمومًا لا يطور تصحيحات لإصدارات ما قبل Android 4.4 من WebView.

مقتطفات البريد الإلكتروني التي نشرها منفذ ما يلي:

"إذا كان الإصدار المتأثر قبل الإصدار 4.4 ، فنحن عمومًا لا نقوم بتطوير التصحيحات بأنفسنا ، ولكن نرحب بالتصحيحات مع التقرير للنظر فيها. بخلاف إخطار مصنعي المعدات الأصلية ، فلن نتمكن من اتخاذ إجراء بشأن أي تقرير يؤثر على الإصدارات قبل 4.4 لا ترافق مع التصحيح ".

لماذا هو سيء؟

كما يشير Metasploit ، فإن أكثر من 60 بالمائة من أجهزة Android النشطة تعمل حاليًا على تشغيل Jelly Bean (Android 4.1-4.3) أو إصدار سابق ، مما يحتمل أن يتركها مفتوحة أمام الأشرار القائمة على الويب عند التصفح عبر WebView. هذا مثير للقلق بشكل خاص بالنسبة لأولئك الذين يستخدمون نظام أندرويد 4.3 وما دونه يستخدمون متصفحات الويب المدمجة من الشركات المصنعة مثل HTC و Samsung و LG (على سبيل المثال لا الحصر) ، والتي تستخدم WebViews لعرض المحتوى من الويب.

حقيقة أن Google لا تعمل بنشاط على تطوير إصلاحات لتطبيقات WebView الأقدم تعني أن على مصنعي المعدات الأصلية تصحيح هذه الأشياء بأنفسهم.

لن يتعرض مالكو Android 4.0-4.3 الذين يستخدمون متصفحات بخلاف WebView مثل Chrome أو Firefox إلى هذه الثغرات الأمنية عند استخدام متصفح الويب الذي يختارونه. ومع ذلك ، قد تظل عرضة للخطر إذا قام WebView لتطبيق جهة خارجية بتوجيههم إلى موقع ضار. هذا أقل احتمالًا من الدخول إلى البرامج الضارة أثناء تصفح الويب المعتاد ، ولكن بالنظر إلى أن التطبيقات البارزة مثل Feedly و Facebook تستخدم WebViews لعرض محتوى الطرف الثالث ، فإنه بعيد عن المستحيل.

أرقام إصدار نظام أندرويد للشهر المنتهي في 5 يناير 2015.

لماذا يكون الأمر منطقيًا (أو: واقع تحديث Android)

المشكلة الحقيقية ليست أن Google لن تقوم بتحديث WebView ، ولكن هناك العديد من الأجهزة لا تزال تعمل بنظام Android 4.3 وما دونه.

من السهل الخلط بين الأعراض - نقاط ضعف WebView - والسبب الجذري. المشكلة الحقيقية ليست أن Google لن تقوم بتحديث Jelly Bean's WebView ، ولكن هناك الكثير من الأجهزة لا تزال تعمل بنظام Android 4.3 والإصدارات الأحدث مع احتمال ضئيل للتحديث ، بغض النظر عن أي إجراء قد تتخذه Google. حتى لو قامت Google بإصدار تصحيحات لرمز WebView الخاص بـ Jelly Bean (و Ice Cream Sandwich's و Gingerbread's) ، فسيظل المستخدمون ينتظرون OEMs (وناقلات) لدفع تحديثات البرامج الثابتة ، تمامًا كما ينتظرون على Android 4.4 اليوم. وإذا كانت الشركات المصنّعة لهذه الأجهزة تميل إلى دفع التحديثات على الإطلاق ، فمن المحتمل ألا تكون عالقة في نظام التشغيل Android 4.3 أو إصدار سابق له.

قامت Google بإصلاح مشكلة عرض ويب Jelly Bean قبل أكثر من عام. يسمى التصحيح أندرويد 4.4 كيت كات.

- Alex Dobie (@ alexdobie) ١٤ يناير ، ٢٠١٥

من منظور Google ، تم إصدار إصلاح هذه المشكلة منذ أكثر من عام مع وصول Android 4.4 KitKat. في عالم مثالي ، سيكون هذا هو مصنعي المعدات الأصلية المعتمدين الذين يطبقون على هواتف Jelly Bean الخاصة بهم ، ونتيجة لذلك لن يعمل أحد على نظام Android 4.3 أو أقل من أكثر من عام بعد توفر 4.4. لسوء الحظ ، على الرغم من الجهود المبذولة على جبهات متعددة ، تظل تحديثات Android شيئًا ما.

ولكن هناك بطانة فضية - تتخذ Google خطوات لضمان سهولة عرض WebView في Android 5.0 وما بعده.

ماذا الان؟

نظرًا لأن Google لن تقوم بتطوير تصحيحات لـ Jelly Bean's WebView ، فالأمر متروك للمصنعين الأصليين لتطوير وطرح إصلاحاتهم الخاصة على الهواتف والأجهزة اللوحية المتأثرة. نظرًا لأن هذه الأجهزة تعمل بالفعل على إصدار قديم إلى حد ما من نظام التشغيل ، فإننا لا نضع أنفاسنا للمصنعين وشركات النقل لنشر أي شيء في الوقت المناسب. ولكي نكون واضحين ، من المحتمل أن يكون هذا هو الحال بصرف النظر عما إذا كانت Google قد طورت تصحيحات Jelly Bean WebView الخاصة بها أم لا.

لقد اتخذت Google بالفعل خطوات للتأكد من إمكانية تحديث WebView في Lollipop.

إذا كنت تقوم بتشغيل Android 4.3 أو ما دونه ، فنحن نوصيك بالانتقال إلى متصفح لا يستخدم WebView ، مثل Google Chrome أو Mozilla Firefox. بالنسبة لحماية نفسك في التطبيقات الأخرى التي تستخدم WebViews ، من الجيد دائمًا تثبيت التطبيقات التي تثق بها فقط ، واتخاذ الاحتياطات الأساسية عند تصفح الويب. على سبيل المثال ، يتيح لك Facebook تعطيل متصفحه المدمج وفتح روابط الويب في متصفحك المفضل.

بصفته جزءًا من الويب من نظام التشغيل Android OS يصعب تحديثه ، يعد WebView هدفًا واضحًا لأي شخص يرغب في العثور على عمليات استغلال Android التي تؤثر على عدد كبير من الأشخاص ، ولا يمكن إبطالها فورًا بواسطة تحديث تطبيق. هذا هو بالتأكيد السبب الذي جعل Google من الممكن تحديث WebView بشكل مستقل عن نظام التشغيل في Android 5.0 وما بعده. إذا تم اكتشاف ثغرات أمنية مماثلة في WebLollipop's WebView ، فبإمكان Google ببساطة طرح تحديث من خلال متجر Play وسيتم ذلك باستخدامه. ومع ذلك ، نظرًا لطبيعة Android ، سيستغرق الأمر وقتًا طويلاً حتى تصبح Lollipop منتشرة على نطاق واسع مثل Jelly Bean. وهذا يعني أنه قد يستغرق الأمر سنوات قبل أن يستفيد غالبية مستخدمي Android من تطبيق WebView الجديد المعياري.