Memahami tayangan web dan tambalan keamanan android

Pengungkapan baru-baru ini bahwa Google tidak lagi mengembangkan tambalan keamanan untuk komponen "WebView" Android di Jelly Bean dan sebelumnya sekali lagi menyoroti keamanan Android, dan tantangan yang terlibat dengan mengamankan satu miliar perangkat yang aktif. Pertama kali diungkapkan oleh Metasploit pada 12 Januari, sikap Google untuk memperbarui komponen Android pusat ini telah banyak dilaporkan pada hari-hari berikutnya.

Jadi apa sebenarnya WebView itu, dan apa pendirian Google tentang pembaruan WebView bagi pemilik perangkat Android? Dan jika Anda masih menggunakan Jelly Bean, apa yang dapat Anda lakukan untuk menirukan risiko? Kami akan melihat detail setelah istirahat.

Hal pertama yang pertama: Apa itu WebView?

Melihat halaman web selain Chrome? Kemungkinan Anda sedang melihat WebView.

WebView adalah bagian dari OS Android yang bertanggung jawab untuk merender halaman web di sebagian besar aplikasi Android. Jika Anda melihat konten web di aplikasi Android, kemungkinan Anda melihat di WebView. Pengecualian utama untuk aturan ini adalah Google Chrome untuk Android, yang sebagai gantinya menggunakan mesin rendering sendiri, yang dibangun ke dalam aplikasi. (Hal yang sama berlaku untuk beberapa peramban Android pihak ketiga seperti Firefox.)

Dalam versi Android yang lebih lama (4.3 dan di bawah), WebView menggunakan kode berdasarkan pada Webkit Apple - teknologi yang sama di belakang browser Safari. Di Android 4.4 dan di atasnya, WebView didasarkan pada Chromium, pangkalan sumber terbuka Google Chrome (yang menggunakan mesin Blink Google.). Di Android 5.0, WebView dikelompokkan sebagai aplikasi terpisah, mungkin untuk memungkinkan pembaruan tepat waktu melalui Google Play tanpa mengharuskan pembaruan firmware dikeluarkan.

Apa yang sedang terjadi?

Peneliti keamanan dari Metasploit, setelah menemukan beberapa eksploitasi keamanan di komponen WebView Android 4.3 dan mengirimkannya ke Google, telah menerbitkan email dari [email protected] mengungkapkan bahwa Google umumnya tidak mengembangkan tambalan untuk versi WebView pra-Android 4.4.

Kutipan email yang diterbitkan oleh outlet membaca:

"Jika versi yang terpengaruh sebelum 4.4, kami umumnya tidak mengembangkan tambalan kami sendiri, tetapi menerima tambalan dengan laporan untuk dipertimbangkan. Selain memberi tahu OEM, kami tidak akan dapat mengambil tindakan atas laporan apa pun yang mempengaruhi versi sebelum 4.4 yang tidak disertai dengan tambalan."

Kenapa itu buruk?

Seperti yang ditunjukkan oleh Metasploit, lebih dari 60 persen perangkat Android aktif saat ini menjalankan Jelly Bean (Android 4.1-4.3) atau lebih awal, berpotensi menjadikannya terbuka untuk nasties berbasis web saat menjelajah melalui WebView. Ini sangat mengkhawatirkan bagi mereka yang menggunakan Android 4.3 dan di bawah ini menggunakan browser web built-in dari produsen seperti HTC, Samsung dan LG (untuk menyebutkan tiga), yang menggunakan WebViews untuk menampilkan konten dari web.

Fakta bahwa Google tidak secara aktif mengembangkan perbaikan untuk implementasi WebView yang lebih lama berarti terserah OEM untuk menambal hal ini sendiri.

Pemilik Android 4.0-4.3 menggunakan browser non-WebView seperti Chrome atau Firefox tidak akan terkena kerentanan ini saat menggunakan browser web pilihan mereka. Namun mereka masih bisa berisiko jika WebView aplikasi pihak ketiga mengarahkan mereka ke situs jahat. Ini lebih kecil kemungkinannya daripada menabrak malware dalam penjelajahan web biasa, namun mengingat bahwa aplikasi profil tinggi seperti Feedly dan Facebook menggunakan WebViews untuk menampilkan konten pihak ketiga, itu jauh dari mustahil.

Nomor versi platform Android untuk bulan yang berakhir 5 Januari 2015.

Mengapa itu masuk akal (atau: kenyataan memperbarui Android)

Masalah sebenarnya bukan bahwa Google tidak akan memperbarui WebView, tetapi begitu banyak perangkat masih menjalankan Android 4.3 dan di bawahnya.

Sangat mudah untuk membingungkan gejala - kerentanan WebView - dengan penyebab root. Masalah sebenarnya bukanlah bahwa Google tidak akan memperbarui WebView Jelly Bean, tetapi begitu banyak perangkat masih menjalankan Android 4.3 dan di bawahnya dengan sedikit prospek untuk diperbarui, terlepas dari tindakan apa pun yang diambil Google. Bahkan jika Google akan mengeluarkan tambalan untuk kode WebView Jelly Bean (dan Ice Cream Sandwich, dan Gingerbread's), pengguna masih akan menunggu OEM (dan operator) untuk mendorong pembaruan firmware, sama seperti mereka sedang menunggu di Android 4.4 hari ini. Dan jika produsen perangkat ini cenderung menolak pembaruan sama sekali, kemungkinan mereka tidak akan terjebak pada Android 4.3 atau lebih awal untuk memulai.

Google memperbaiki masalah tampilan web Jelly Bean lebih dari setahun yang lalu. Patch ini disebut Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 Januari 2015

Dari perspektif Google, perbaikan untuk masalah ini dirilis lebih dari setahun yang lalu dengan kedatangan Android 4.4 KitKat. Di dunia yang ideal, itu akan menjadi patch OEM yang diterapkan pada ponsel Jelly Bean mereka, dan sebagai hasilnya tidak ada yang menjalankan Android 4.3 atau di bawah lebih dari setahun setelah 4.4 tersedia. Sayangnya, terlepas dari upaya di berbagai bidang, pembaruan Android tetap merupakan sesuatu yang tidak disengaja.

Tetapi ada hikmahnya - Google mengambil langkah untuk memastikan WebView lebih mudah untuk ditambal di Android 5.0 dan lebih tinggi.

Apa sekarang?

Karena Google tidak akan mengembangkan tambalan ke Jelly Bean's WebView, terserah OEM untuk mengembangkan dan meluncurkan perbaikan mereka sendiri pada ponsel dan tablet yang terpengaruh. Mengingat bahwa perangkat ini sudah menjalankan versi OS yang cukup lama, kami tidak menahan napas untuk produsen dan operator untuk menyebarkan apa pun pada waktu yang tepat. Dan untuk menjadi jelas, itu akan menjadi masalah terlepas dari apakah Google mengembangkan tambalan Jelly Bean WebView sendiri atau tidak.

Google sudah mengambil langkah-langkah untuk memastikan WebView dapat tetap up to date di Lollipop.

Jika Anda menjalankan Android 4.3 atau lebih rendah, kami sarankan untuk beralih ke peramban yang tidak menggunakan WebView, seperti Google Chrome atau Mozilla Firefox. Sedangkan untuk melindungi diri Anda di aplikasi lain yang menggunakan WebViews, itu selalu ide yang baik untuk hanya menginstal aplikasi yang Anda percayai, dan untuk mengambil tindakan pencegahan dasar saat menjelajah web. Facebook, misalnya, memungkinkan Anda menonaktifkan peramban bawaan dan membuka tautan web di peramban pilihan Anda.

Sebagai bagian dari OS Android yang menghadap web yang sulit diperbarui, WebView adalah target yang jelas bagi siapa pun yang ingin menemukan eksploitasi Android yang memengaruhi banyak orang, dan yang tidak dapat segera dibatalkan oleh pembaruan aplikasi. Itu pasti mengapa Google telah memungkinkan untuk memperbarui WebView secara independen dari OS di Android 5.0 dan seterusnya. Jika kerentanan serupa ditemukan di Lollipop's WebView, Google hanya akan mendorong pembaruan melalui Play Store dan selesai dengan itu. Namun, karena sifat Android, itu akan memakan waktu bagi Lollipop untuk menjadi sedekat Jelly Bean. Dan itu berarti perlu bertahun-tahun sebelum mayoritas pengguna Android mendapat manfaat dari implementasi WebView modular yang baru.