Vor einiger Zeit Wir geben in der Android-Hilfe an das a Sicherheitsproblem im Basisbrowser die in Geräten mit dem Google-Betriebssystem mit Version 4.3 oder früher enthalten ist. Und die Wahrheit ist, dass das Unternehmen Mountain View anscheinend an seiner Lösung arbeitete ... etwas, das schließlich so aussieht, als ob es es nicht ist.
Dieser Fehler hat seinen Ursprung in Webansicht, die Komponente, mit der Sie Webinhalte in Anwendungen und im nativer Browser basierend auf WebKitVerschiedene Quellen aus dem Android-Sicherheitsteam haben darauf hingewiesen, dass Es gibt keine Pläne, das Problem zu beheben in diesen alten Zusammenstellungen: so viele Varianten beizubehalten würde bedeuten versionsspezifische Patches und berühren Millionen Zeilen Code, mit dem Risiko, dass neue Probleme entstehen.
Die Wahrheit ist, dass die Auswirkungen des "Lochs" der WebKit-basierten Anwendung sind potenziell gefährlichDenn wenn auf eine Seite zugegriffen wird, die den spezifischen Code enthält, kann JavaScrip-Code ausgeführt, die Cookies des Geräts gelesen und sogar die Passwörter des Geräts ohne Erlaubnis gelesen werden.
Eine überraschende Antwort
Der Punkt ist, dass der Entwickler, der das Sicherheitsproblem erkannt hat, Rafael Baloch, hat Google das festgestellte Problem mitgeteilt und zu seiner Überraschung eine Antwort von der Firma Mountain View erhalten, in der angegeben wird, dass sie ihre Ressourcen nicht in die Lösung des bestehenden Problems investieren werden, das von den Herstellern selbst abgeleitet wird entsprechende Lösung.
In Übereinstimmung mit dieser Position haben Android-Sicherheitsbeamte erklärt, dass „Die Software auf dem neuesten Stand zu halten, ist eine der größten Herausforderungen.“ dass „Auf lange Sicht ist es nicht praktikabel“ Patchen Sie die Legacy-Browser-Engine auf jeder älteren Variante des Systems. Die Begründung lautet, dass die betroffene Engine veraltet ist und dass die Priorität auf moderne Browser mit kontinuierlichen Updates (wie Chrome) und in neueren Versionen des Systems, wo WebView getrennt wurde und Verbesserungen über einen eigenen Kanal erhält.
Das mag durchaus Sinn ergeben, da wir über Jelly Bean sprechen, das es schon seit Jahren gibt. Aber die Wahrheit ist, dass diese Verteilung auch heute noch die meistgenutzte ist und rund 50 % der Quote ausmacht Android-Geräte (vor KitKat) und vor diesem Hintergrund sollten die festgestellten Probleme viel ernster genommen werden, da die potenzielle Zahl der betroffenen Terminals mehrere Hundert Millionen betragen kann - wenn nicht sogar mehr. Daher ist es eine unglückliche Haltung, wenn die veröffentlichten Informationen bestätigt werden.
Warten auf Lösungen
Wenn Sie einer der Benutzer sind, die von dem Sicherheitsproblem betroffen sind, da Sie Android 4.3 und den Standardbrowser (oder einen vom Hersteller des Terminals angepassten) verwenden, müssen Sie in Wahrheit auf eine personalisierte Lösung warten auf Ihrem Gerät. Dies kann möglich sein oder auch nicht, also werden wir es Ihnen sagen Empfehlungen So können Sie bei der Verwendung Ihres Mobilgeräts mehr als ruhig sein:
- Immer zugreifen zu vertrauenswürdigen Seiten
- Lauf nicht Dateien von Drittanbietern von denen Sie Zweifel haben und versuchen, automatisch zu installieren oder herunterzuladen
- Verwenden Sie einen anderen Browser als den standardmäßig auf dem Gerät installierten, wie z Firefox, Chrome oder Delphin
- Deaktivieren Sie den nativen Browser wenn das System es zulässt und etabliert Chrome oder Firefox als Standard um Links zu öffnen.
- Vermeiden Sie nach Möglichkeit das Öffnen eingebetteter Inhalte in Apps und Öffnen im Browser erzwingen sicher extern.
- Behalten alle Apps aktualisiert aus seinem offiziellen Store, um Angriffsvektoren zu reduzieren.
- Seien Sie äußerst vorsichtig bei öffentliche Wi-Fi-Netzwerke und vermeiden Sie die Anmeldung bei wichtigen Diensten über Ihren alten Browser.
- Überprüfen Sie die App-Berechtigungen die WebView integrieren, und deinstallieren Sie diejenigen, die nicht unbedingt erforderlich sind.
Für viele Experten ist die Auswirkung relevant, weil Angreifer können ausnutzen den Legacy-Browser einfacher. Wenn Sie eine Version mit einem anfälligen WebView verwenden, ist es am besten, auf einen modernen Browser zu migrieren, der nicht vom betroffenen Motor abhängig und erhalten Sie regelmäßig Patches über den Store.
Wenn Ihr Gerät keinen Zugriff auf den Play Store hat, überprüfen Sie die offizielle Geschäfte des Herstellers oder den Anbieter Ihres Geräts, um aktualisierte Browser zu erhalten. Vermeiden Sie die Installation von APKs aus nicht verifizierten Quellen, auch wenn diese behaupten, das Problem zu „beheben“.
Anwendungsentwickler können Risiken auch dadurch minimieren, dass sie die Nutzung von WebView auf verschlüsselte und vertrauenswürdige Seitenoder das Öffnen von Links an moderne externe Browser delegieren, wenn die Umgebung des Benutzers potenziell anfällig ist.
Schließlich, wenn das Betriebssystem Ihres Telefons oder Tablets Android KitKat oder höherSie können sicher sein, dass das erkannte Sicherheitsproblem bei ihnen nicht besteht und Google derzeit nicht die Absicht hat, es zu lösen.
Quelle: Washington Street Journal.
Die Entscheidung, ältere Versionen nicht zu patchen, verlagert die Verantwortung auf Hersteller und Benutzer: mit gute Praxis, ein moderner Browser und durch die Vermeidung des nativen Browsers ist es möglich, die Gefährdung erheblich zu reduzieren, bis ein aktualisiertes Gerät oder System verfügbar ist.