目次:
GoogleがJelly Bean以前のAndroidの「WebView」コンポーネントのセキュリティパッチを開発しなくなったという最近の事実は、Androidのセキュリティと10億ほどのアクティブなデバイスの保護に関連する課題に再び注目しています。 1月12日にMetasploitによって最初に明らかにされたこの中央Androidコンポーネントの更新に対するGoogleの姿勢は、数日後に広く報告されています。
それでは、WebViewとは正確に何ですか?また、Androidデバイス所有者にとってWebViewの更新に対するGoogleのスタンスは何を意味するのでしょうか? また、Jelly Beanをまだ実行している場合、リスクを最小限に抑えるために何ができますか? 休憩の後に詳しく見ていきます。
まず最初に:WebViewとは何ですか?
Chrome以外のWebページを表示していますか? WebViewを見ている可能性があります。
WebViewは、 ほとんどの AndroidアプリでWebページをレンダリングするAndroid OSの一部です。 AndroidアプリにWebコンテンツが表示されている場合、WebViewを見ている可能性があります。 このルールの主要な例外は、Android向けGoogle Chromeです。代わりに、アプリに組み込まれた独自のレンダリングエンジンを使用します。 (FirefoxのようなサードパーティのAndroidブラウザーでも同じことが言えます。)
Androidの古いバージョン(4.3以下)では、WebViewはAppleのWebkitに基づいたコードを使用します。これはSafariブラウザーの背後にある同じ技術です。 Android 4.4以降では、WebViewは、Google Chrome(GoogleのBlinkエンジンを使用)のオープンソースベースであるChromiumに基づいています。 Android 5.0では、WebViewは個別のアプリとして分割されました。おそらく、ファームウェアの更新を発行することなく、Google Playでタイムリーに更新できるようにするためです。
どうしたの?
Metasploitのセキュリティ研究者は、Android 4.3のWebViewコンポーネントでいくつかのセキュリティエクスプロイトを発見し、Googleに送信した後、security @ android.comから電子メールを公開しました。 。
アウトレットが発行したメールの抜粋は次のとおりです。
「影響を受けるバージョンが4.4より前の場合、通常はパッチを開発しませんが、検討用のレポートを含むパッチを歓迎します。OEMに通知する以外、4.4より前のバージョンに影響するレポートに対してアクションを実行することはできません。パッチは付属していません。」
どうして悪いの?
Metasploitが 指摘しているように、アクティブなAndroidデバイスの60%以上が現在Jelly Bean(Android 4.1-4.3)以前を実行しており、WebViewを閲覧する際にWebベースの厄介者に開かれたままになる可能性があります。 これは、HTC、Samsung、LGなどのメーカー製の組み込みWebブラウザーを使用するAndroid 4.3以下(特に3つ)でWebViewを使用してWebからコンテンツを表示するユーザーにとって特に心配です。
Googleが古いWebView実装の修正を積極的に開発していないという事実は、OEMが独自にこのようなものにパッチを適用することを意味します。
ChromeやFirefoxなどの非WebViewブラウザーを使用しているAndroid 4.0-4.3所有者は、選択したWebブラウザーを使用する際にこれらの脆弱性にさらされることはありません。 ただし、サードパーティのアプリのWebViewが悪意のあるサイトに誘導すると、依然として危険にさらされる可能性があります。 これは通常のWebブラウジング中にマルウェアに遭遇する可能性は低いですが、FeedlyやFacebookのような有名なアプリがWebViewを使用してサードパーティのコンテンツを表示することを考えると、不可能ではありません。
2015年1月5日に終了する月のAndroidプラットフォームのバージョン番号。
なぜそれが理にかなっているのか(またはAndroidの更新の現実)
本当の問題は、GoogleがWebViewを更新しないということではなく、非常に多くのデバイスがAndroid 4.3以下をまだ実行していることです。
症状- WebViewの脆弱性-と根本原因を混同するのは簡単です。 本当の問題は、GoogleがJelly BeanのWebViewを更新しないことではなく、Googleが実行するアクションに関係なく、非常に多くのデバイスがまだAndroid 4.3以下を実行していることです。 GoogleがJelly BeanのWebViewコード(およびIce Cream Sandwich、およびGingerbread)のパッチを発行したとしても、ユーザーは、今日のAndroid 4.4で待っているのと同じように、ファームウェアの更新をプッシュするOEM(およびキャリア)を待っています。 そして、これらのデバイスのメーカーがアップデートをまったく公開しない場合、最初からAndroid 4.3以前にこだわることはないでしょう。
Googleは1年以上前にJelly Beanのウェブビューの問題を修正しました。 パッチはAndroid 4.4 KitKatと呼ばれます。
-アレックス・ドビー(@alexdobie)2015年1月14日
Googleの観点から見ると、この問題の修正は1年以上前にAndroid 4.4 KitKatがリリースされてリリースされました。 理想的な世界では、それはOEMがJelly Bean電話に適用するパッチであり、その結果、4.4が利用可能になってから1年以上Android 4.3以下を実行している人はいません。 残念ながら、複数の面での努力にもかかわらず、Androidの更新は依然として不吉なものです。
しかし、銀の裏地があります。Googleは、Android 5.0以降でWebViewのパッチを簡単にするための措置を講じています。
今何?
GoogleはJelly BeanのWebViewのパッチを開発しないので、影響を受ける電話やタブレットで独自の修正を開発して展開するのはOEMの責任です。 これらのデバイスはすでにかなり古いバージョンのOSを実行していることを考えると、メーカーや通信事業者が何かをタイムリーに展開することを望んでいません。 そして、明確にするために、Googleが独自のJelly Bean WebViewパッチを開発したかどうかに関係なく、そうなる可能性があります。
GoogleはすでにWebViewがLollipopで最新の状態を維持できるようにするための措置を講じています。
Android 4.3以前を実行している場合は、Google ChromeやMozilla Firefoxなど、WebViewを使用しないブラウザーに切り替えることをお勧めします。 WebViewを使用する他のアプリで自分自身を保護するために、信頼できるアプリのみをインストールし、Webを閲覧するときに基本的な予防策を講じることは常に良い考えです。 たとえば、Facebookでは、組み込みのブラウザーを無効にして、選択したブラウザーでWebリンクを開くことができます。
更新が困難なAndroid OSのWebに面した部分として、WebViewは、多数の人々に影響を及ぼし、アプリの更新によってすぐに無効にできないAndroidエクスプロイトを探している人にとって明らかなターゲットです。 だからこそ、GoogleがAndroid 5.0以降のOSに依存せずにWebViewを更新できるようにしたのです。 同様の脆弱性がLollipopのWebViewで発見された場合、GoogleはPlayストアを通じてアップデートを単にプッシュし、それで完了します。 ただし、Androidの性質上、LollipopがJelly Beanのように広く普及するまでには時間がかかります。 そして、それは、Androidユーザーの大半が新しいモジュール式WebView実装の恩恵を受けるまでに数年かかる可能性があることを意味します。
![Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]](https://img.androidermagazine.com/img/podcast/292/google-exposes-pixel-4-features.jpg "Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]"){kind=tracking}
