Hiểu các bản vá bảo mật webview và Android

Một tiết lộ gần đây rằng Google không còn phát triển các bản vá bảo mật cho thành phần "WebView" của Android trong Jelly Bean và trước đó một lần nữa đã chú ý đến bảo mật Android và những thách thức liên quan đến việc bảo mật một tỷ thiết bị hoạt động. Lần đầu tiên được tiết lộ bởi Metasploit vào ngày 12 tháng 1, lập trường của Google về việc cập nhật thành phần trung tâm Android này đã được báo cáo rộng rãi trong những ngày tiếp theo.

Vậy chính xác thì WebView là gì và lập trường của Google về các bản cập nhật WebView có ý nghĩa gì đối với chủ sở hữu thiết bị Android? Và nếu bạn vẫn đang chạy Jelly Bean, bạn có thể làm gì để bắt chước rủi ro? Chúng tôi sẽ xem xét chi tiết sau giờ nghỉ.

Điều đầu tiên trước tiên: WebView là gì?

Xem một trang web trong bất cứ điều gì ngoài Chrome? Có thể bạn đang xem một WebView.

WebView là một phần của HĐH Android chịu trách nhiệm hiển thị các trang web trong hầu hết các ứng dụng Android. Nếu bạn thấy nội dung web trong ứng dụng Android, rất có thể bạn đang xem WebView. Ngoại lệ chính cho quy tắc này là Google Chrome dành cho Android, thay vào đó sử dụng công cụ kết xuất của riêng nó, được tích hợp trong ứng dụng. (Điều tương tự cũng xảy ra với một số trình duyệt Android của bên thứ ba như Firefox.)

Trong các phiên bản Android cũ hơn (4.3 trở xuống), WebView sử dụng mã dựa trên Webkit của Apple - công nghệ tương tự đằng sau trình duyệt Safari. Trong Android 4.4 trở lên, WebView dựa trên Chromium, cơ sở nguồn mở của Google Chrome (sử dụng công cụ Blink của Google.). Trong Android 5.0, WebView đã được chia thành một ứng dụng riêng biệt, có lẽ là cho phép cập nhật kịp thời thông qua Google Play mà không yêu cầu cập nhật firmware.

Chuyện gì đang xảy ra vậy?

Các nhà nghiên cứu bảo mật từ Metasploit, sau khi phát hiện ra một số khai thác bảo mật trong thành phần WebView của Android 4.3 và gửi chúng cho Google, đã công bố một email từ [email protected] tiết lộ rằng Google thường không phát triển các bản vá cho các phiên bản WebView tiền Android 4.4.

Các đoạn trích email được xuất bản bởi các cửa hàng đọc:

"Nếu phiên bản bị ảnh hưởng là trước 4.4, chúng tôi thường không tự phát triển các bản vá, nhưng hoan nghênh các bản vá có báo cáo để xem xét. Khác với thông báo cho các OEM, chúng tôi sẽ không thể thực hiện bất kỳ báo cáo nào ảnh hưởng đến các phiên bản trước 4.4. không đi kèm với một bản vá."

Tại sao nó xấu?

Như Metasploit chỉ ra, hơn 60 phần trăm thiết bị Android đang hoạt động hiện đang chạy Jelly Bean (Android 4.1-4.3) hoặc sớm hơn, có khả năng khiến chúng mở ra cho những người khó tính dựa trên web khi duyệt qua WebView. Điều này đặc biệt đáng lo ngại đối với những người dùng Android 4.3 trở xuống khi sử dụng các trình duyệt web tích hợp từ các nhà sản xuất như HTC, Samsung và LG (gọi tên ba), sử dụng WebView để hiển thị nội dung từ web.

Việc Google không tích cực phát triển các bản sửa lỗi cho các triển khai WebView cũ hơn có nghĩa là các OEM phải tự mình vá các công cụ này.

Chủ sở hữu Android 4.0-4.3 sử dụng các trình duyệt không phải WebView như Chrome hoặc Firefox sẽ không gặp phải các lỗ hổng này khi sử dụng trình duyệt web mà họ lựa chọn. Tuy nhiên, họ vẫn có thể gặp rủi ro nếu WebView của ứng dụng bên thứ ba hướng họ đến một trang web độc hại. Điều này ít có khả năng hơn là chạy vào phần mềm độc hại trong quá trình duyệt web thông thường, tuy nhiên, do các ứng dụng cấu hình cao như Feedly và Facebook sử dụng WebView để hiển thị nội dung của bên thứ ba, điều đó là không thể.

Số phiên bản nền tảng Android cho tháng kết thúc vào ngày 5 tháng 1 năm 2015.

Tại sao nó có ý nghĩa (hoặc: thực tế cập nhật Android)

Vấn đề thực sự không phải là Google sẽ không cập nhật WebView, mà là rất nhiều thiết bị vẫn đang chạy Android 4.3 trở xuống.

Thật dễ nhầm lẫn giữa triệu chứng - lỗ hổng WebView - với nguyên nhân gốc. Vấn đề thực sự không phải là Google sẽ không cập nhật WebView của Jelly Bean, mà là rất nhiều thiết bị vẫn đang chạy Android 4.3 trở xuống với rất ít triển vọng được cập nhật, bất kể Google có thể làm gì. Ngay cả khi Google phát hành bản vá cho mã WebView của Jelly Bean (và Ice Cream Sandwich và Gingerbread), người dùng vẫn sẽ chờ đợi các OEM (và nhà mạng) tung ra các bản cập nhật firmware, giống như họ đang chờ đợi trên Android 4.4 ngày hôm nay. Và nếu các nhà sản xuất của các thiết bị này có xu hướng tung ra các bản cập nhật, nhiều khả năng chúng sẽ không bị kẹt trên Android 4.3 hoặc sớm hơn để bắt đầu.

Google đã khắc phục sự cố webview Jelly Bean hơn một năm trước. Bản vá được gọi là Android 4.4 KitKat.

- Alex Dobie (@alexdobie) ngày 14 tháng 1 năm 2015

Từ quan điểm của Google, bản sửa lỗi cho vấn đề này đã được phát hành cách đây hơn một năm với sự xuất hiện của Android 4.4 KitKat. Trong một thế giới lý tưởng, đó sẽ là bản vá lỗi OEM được áp dụng cho điện thoại Jelly Bean của họ và kết quả là không ai sẽ chạy Android 4.3 hoặc thấp hơn một năm sau khi 4.4 có sẵn. Thật không may, mặc dù có nhiều nỗ lực trên nhiều mặt trận, các bản cập nhật Android vẫn là một thứ gì đó rất khó hiểu.

Nhưng có một lớp lót bạc - Google thực hiện các bước để đảm bảo WebView dễ vá hơn trong Android 5.0 và hơn thế nữa.

Bây giờ thì sao

Vì Google sẽ không phát triển các bản vá cho WebView của Jelly Bean, nên các OEM phải phát triển và đưa ra các bản sửa lỗi của riêng họ trên điện thoại và máy tính bảng bị ảnh hưởng. Cho rằng các thiết bị này đã chạy phiên bản HĐH khá cũ, chúng tôi sẽ không nín thở để các nhà sản xuất và nhà mạng triển khai bất cứ điều gì kịp thời. Và rõ ràng, đó có thể là trường hợp bất kể Google có phát triển bản vá Jelly Bean WebView của riêng mình hay không.

Google đã thực hiện các bước để đảm bảo WebView có thể cập nhật trong Lollipop.

Nếu bạn đang chạy Android 4.3 trở xuống, chúng tôi khuyên bạn nên chuyển sang trình duyệt không sử dụng WebView, chẳng hạn như Google Chrome hoặc Mozilla Firefox. Đối với việc tự bảo vệ mình trong các ứng dụng khác sử dụng WebView, bạn chỉ nên cài đặt các ứng dụng mà bạn tin tưởng và thực hiện các biện pháp phòng ngừa cơ bản khi duyệt web. Chẳng hạn, Facebook cho phép bạn vô hiệu hóa trình duyệt tích hợp sẵn và mở các liên kết web trong trình duyệt bạn chọn.

Là một phần phải đối mặt với hệ điều hành Android khó cập nhật, WebView là mục tiêu rõ ràng cho bất kỳ ai muốn tìm các khai thác Android ảnh hưởng đến nhiều người và không thể bị vô hiệu hóa ngay lập tức bởi một bản cập nhật ứng dụng. Đó chắc chắn là lý do tại sao Google cho phép cập nhật WebView độc lập với HĐH trong Android 5.0 trở lên. Nếu các lỗ hổng tương tự được phát hiện trong WebView của Lollipop, Google chỉ cần đưa ra một bản cập nhật thông qua Play Store và được thực hiện với nó. Tuy nhiên, do bản chất của Android, sẽ cần thời gian để Lollipop trở thành bất cứ nơi nào gần như rộng rãi như Jelly Bean. Và điều đó có nghĩa là có thể mất nhiều năm trước khi phần lớn người dùng Android được hưởng lợi từ việc triển khai WebView mô-đun mới.