Inhaltsverzeichnis:
- Das Wichtigste zuerst: Was ist WebView?
- Was ist los?
- Warum ist es schlecht?
- Warum es irgendwie Sinn macht (oder: die Realität der Aktualisierung von Android)
- Was jetzt?
Eine kürzliche Entdeckung, dass Google in Jelly Bean und früheren Versionen keine Sicherheitspatches mehr für die "WebView" -Komponente von Android entwickelt, hat die Android-Sicherheit und die Herausforderungen im Zusammenhang mit der Sicherung der rund eine Milliarde aktiven Geräte erneut in den Mittelpunkt gerückt. Das erste Mal von Metasploit am 12. Januar enthüllt, wurde Googles Haltung zur Aktualisierung dieser zentralen Android-Komponente in den folgenden Tagen weit verbreitet.
Was genau ist WebView und was bedeutet die Haltung von Google zu WebView-Updates für Besitzer von Android-Geräten? Und wenn Sie noch mit Jelly Bean arbeiten, was können Sie tun, um das Risiko zu minimieren? Wir werden uns nach der Pause ausführlich umsehen.
Das Wichtigste zuerst: Was ist WebView?
Anzeigen einer Webseite in etwas anderem als Chrome? Möglicherweise sehen Sie sich eine WebView an.
WebView ist der Teil des Android-Betriebssystems, der für das Rendern von Webseiten in den meisten Android-Apps verantwortlich ist. Wenn Sie Webinhalte in einer Android-App sehen, sehen Sie wahrscheinlich eine WebView. Die wichtigste Ausnahme von dieser Regel ist Google Chrome für Android, das stattdessen eine eigene Rendering-Engine verwendet, die in die App integriert ist. (Gleiches gilt für einige Android-Browser von Drittanbietern wie Firefox.)
In älteren Versionen von Android (4.3 und niedriger) verwendet WebView Code, der auf Apples Webkit basiert - die gleiche Technologie wie der Safari-Browser. In Android 4.4 und höher basiert WebView auf Chromium, der Open-Source-Basis von Google Chrome (das die Blink-Engine von Google verwendet). In Android 5.0 wurde WebView als separate App herausgebrochen, vermutlich um zeitnahe Updates über Google Play zu ermöglichen, ohne dass Firmware-Updates veröffentlicht werden müssen.
Was ist los?
Sicherheitsforscher von Metasploit haben nach der Entdeckung mehrerer Sicherheits-Exploits in der WebView-Komponente von Android 4.3 und deren Übermittlung an Google eine E-Mail von [email protected] veröffentlicht, aus der hervorgeht, dass Google im Allgemeinen keine Patches für WebView-Versionen vor Android 4.4 entwickelt.
Die im Outlet veröffentlichten E-Mail-Auszüge lauten:
"Wenn die betroffene Version vor 4.4 vorliegt, entwickeln wir die Patches im Allgemeinen nicht selbst, sondern begrüßen Patches mit dem Bericht zur Berücksichtigung. Abgesehen von der Benachrichtigung der OEMs können wir keine Maßnahmen für Berichte ergreifen, die sich auf Versionen vor 4.4 auswirken sind nicht mit einem Patch begleitet."
Warum ist es schlecht?
Metasploit weist darauf hin, dass derzeit auf mehr als 60 Prozent der aktiven Android-Geräte Jelly Bean (Android 4.1-4.3) oder eine frühere Version ausgeführt wird. Dies kann dazu führen, dass sie beim Surfen in einer WebView für webbasierte Benutzer geöffnet bleiben. Dies ist besonders besorgniserregend für Benutzer von Android 4.3 und höher, die integrierte Webbrowser von Herstellern wie HTC, Samsung und LG (um nur drei zu nennen) verwenden, die WebViews zum Anzeigen von Inhalten aus dem Web verwenden.
Die Tatsache, dass Google keine aktiven Fixes für ältere WebView-Implementierungen entwickelt, bedeutet, dass es Sache der OEMs ist, dieses Zeug selbst zu patchen.
Besitzer von Android 4.0-4.3, die Browser verwenden, die keine WebView-Browser wie Chrome oder Firefox sind, sind diesen Sicherheitsanfälligkeiten nicht ausgesetzt, wenn sie einen Webbrowser ihrer Wahl verwenden. Sie können jedoch weiterhin gefährdet sein, wenn die WebView-Funktion einer Drittanbieter-App sie auf eine schädliche Website verweist. Dies ist weniger wahrscheinlich als das Auftreten von Malware beim normalen Surfen im Internet. Angesichts der Tatsache, dass hochkarätige Apps wie Feedly und Facebook WebViews zur Anzeige von Inhalten von Drittanbietern verwenden, ist dies jedoch keineswegs unmöglich.
Versionsnummern der Android-Plattform zum 5. Januar 2015.
Warum es irgendwie Sinn macht (oder: die Realität der Aktualisierung von Android)
Das eigentliche Problem ist nicht, dass Google WebView nicht aktualisiert, sondern dass auf so vielen Geräten immer noch Android 4.3 und niedriger ausgeführt wird.
Es ist leicht, das Symptom - WebView-Schwachstellen - mit der eigentlichen Ursache zu verwechseln. Das eigentliche Problem ist nicht, dass Google Jelly Beans WebView nicht aktualisiert, sondern dass auf so vielen Geräten immer noch Android 4.3 und niedriger ausgeführt wird, ohne dass die Aussicht auf eine Aktualisierung besteht, unabhängig davon, welche Maßnahme Google ergreifen könnte. Selbst wenn Google Patches für Jelly Beans WebView-Code (und Ice Cream Sandwichs und Gingerbreads) herausgeben würde, würden Benutzer immer noch darauf warten, dass OEMs (und Carrier) Firmware-Updates veröffentlichen, so wie sie es heute auf Android 4.4 tun. Und wenn die Hersteller dieser Geräte dazu neigen würden, Updates zu veröffentlichen, würden sie sich wahrscheinlich zunächst nicht auf Android 4.3 oder eine frühere Version beschränken.
Google hat das Problem mit der Jelly Bean-Webansicht vor über einem Jahr behoben. Der Patch heißt Android 4.4 KitKat.
- Alex Dobie (@alexdobie), 14. Januar 2015
Aus Googles Sicht wurde der Fix für dieses Problem vor mehr als einem Jahr mit der Einführung von Android 4.4 KitKat veröffentlicht. In einer idealen Welt wären dies die Patch-OEMs, die auf ihre Jelly Bean-Telefone angewendet werden, und infolgedessen würde niemand mehr als ein Jahr nach Verfügbarkeit von 4.4 Android 4.3 oder niedriger ausführen. Leider bleiben Android-Updates trotz vieler Bemühungen ein Kinderspiel.
Aber es gibt einen Silberstreifen - Google unternimmt Schritte, um sicherzustellen, dass WebView in Android 5.0 und höher einfacher zu patchen ist.
Was jetzt?
Da Google keine Patches für Jelly Beans WebView entwickelt, ist es Sache der OEMs, eigene Fixes für betroffene Telefone und Tablets zu entwickeln und einzuführen. Angesichts der Tatsache, dass auf diesen Geräten bereits eine relativ alte Version des Betriebssystems ausgeführt wird, halten wir nicht den Atem an, damit Hersteller und Netzbetreiber alles rechtzeitig bereitstellen. Dies dürfte auch dann der Fall sein, wenn Google seine eigenen Jelly Bean WebView-Patches entwickelt hat oder nicht.
Google hat bereits Schritte unternommen, um sicherzustellen, dass WebView in Lollipop immer auf dem neuesten Stand ist.
Wenn Sie mit Android 4.3 oder niedriger arbeiten, empfehlen wir Ihnen, zu einem Browser zu wechseln, der WebView nicht verwendet, z. B. Google Chrome oder Mozilla Firefox. Um sich in anderen Apps, die WebViews verwenden, zu schützen, ist es immer eine gute Idee, nur Apps zu installieren, denen Sie vertrauen, und beim Surfen im Web grundlegende Vorsichtsmaßnahmen zu treffen. Mit Facebook können Sie beispielsweise den integrierten Browser deaktivieren und Weblinks in einem Browser Ihrer Wahl öffnen.
WebView ist ein schwer zu aktualisierender Teil des Android-Betriebssystems für das Internet und ein offensichtliches Ziel für alle, die nach Android-Exploits suchen, die eine große Anzahl von Menschen betreffen und die durch ein App-Update nicht sofort aufgehoben werden können. Das ist sicherlich der Grund, warum Google es möglich gemacht hat, WebView unabhängig vom Betriebssystem in Android 5.0 und höher zu aktualisieren. Wenn ähnliche Schwachstellen in Lollipops WebView entdeckt würden, würde Google einfach ein Update über den Play Store herausgeben und damit fertig sein. Aufgrund der Natur von Android wird es jedoch einige Zeit dauern, bis Lollipop annähernd so weit verbreitet ist wie Jelly Bean. Und das heißt, es kann Jahre dauern, bis die Mehrheit der Android-Nutzer von der neuen modularen WebView-Implementierung profitiert.
