Новости Software

Google объяснила отказ устранять уязвимости WebView

Google недавно объяснила своё решение не обновлять WebView, один из ключевых компонентов Android, в версиях платформы старше 4.4 (KitKat). По словам представителей корпорации, изменения в коде продукта могут привести к появлению новых угроз.

«До недавнего времени мы осуществляли обратное портирование для версии WebKit, используемой WebView на Android 4.3 и более ранних версиях… Однако WebKit сам по себе содержит 5 миллионов строчек кода, к которому сотни разработчиков ежемесячно добавляют тысячи дополнений, поэтому в некоторых случаях применение исправлений безопасности для ветки более чем двухлетней давности требует изменения существенной части кода, и больше не является практичным с точки зрения безопасности», — написал Адриан Людвиг (Adrian Ludwig), ведущий эксперт по безопасности Android.

Своим сообщением Людвиг отреагировал на вопросы, ранее заданные Тодом Бердсли (Tod Beardsley), руководителем отдела разработки Rapid7. Бердсли обратил внимание интернет-сообщества на тот факт, что Google прекратила исправлять уязвимости в WebView для Android 4.3 и более старых версий платформы.

WebView служит ядром нативного браузера операционной системы, который используется для отображения веб-контента в приложениях.

Бердсли подчеркнул, что любая уязвимость WebView несёт в себе существенную угрозу, так как доступ к движку браузера имеют все приложения в системе. «WebView — это важнейший вектор атаки в Android. Если я злоумышленник, я проэксплуатирую WebView, создав веб-сайт, и надеясь, что люди попадут на него», — отметил эксперт.

На сегодняшний день более 60 % Android-устройств используют устаревшую, по мнению Google, платформу, и с прошлого октября прекратили получать обновления безопасности. Сейчас продаются и даже производятся новые телефоны, рассчитанные на использование Android 4.3 с небезопасной версией WebView.

Пользователям таких гаджетов рекомендуется просматривать веб-страницы с помощью альтернативных браузеров. Также для обеспечения безопасности не стоит устанавливать приложения на телефон или планшет из недоверенных источников.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥