Новости Software

Google объяснила отказ устранять уязвимости WebView

Google недавно объяснила своё решение не обновлять WebView, один из ключевых компонентов Android, в версиях платформы старше 4.4 (KitKat). По словам представителей корпорации, изменения в коде продукта могут привести к появлению новых угроз.

«До недавнего времени мы осуществляли обратное портирование для версии WebKit, используемой WebView на Android 4.3 и более ранних версиях… Однако WebKit сам по себе содержит 5 миллионов строчек кода, к которому сотни разработчиков ежемесячно добавляют тысячи дополнений, поэтому в некоторых случаях применение исправлений безопасности для ветки более чем двухлетней давности требует изменения существенной части кода, и больше не является практичным с точки зрения безопасности», — написал Адриан Людвиг (Adrian Ludwig), ведущий эксперт по безопасности Android.

Своим сообщением Людвиг отреагировал на вопросы, ранее заданные Тодом Бердсли (Tod Beardsley), руководителем отдела разработки Rapid7. Бердсли обратил внимание интернет-сообщества на тот факт, что Google прекратила исправлять уязвимости в WebView для Android 4.3 и более старых версий платформы.

WebView служит ядром нативного браузера операционной системы, который используется для отображения веб-контента в приложениях.

Бердсли подчеркнул, что любая уязвимость WebView несёт в себе существенную угрозу, так как доступ к движку браузера имеют все приложения в системе. «WebView — это важнейший вектор атаки в Android. Если я злоумышленник, я проэксплуатирую WebView, создав веб-сайт, и надеясь, что люди попадут на него», — отметил эксперт.

На сегодняшний день более 60 % Android-устройств используют устаревшую, по мнению Google, платформу, и с прошлого октября прекратили получать обновления безопасности. Сейчас продаются и даже производятся новые телефоны, рассчитанные на использование Android 4.3 с небезопасной версией WebView.

Пользователям таких гаджетов рекомендуется просматривать веб-страницы с помощью альтернативных браузеров. Также для обеспечения безопасности не стоит устанавливать приложения на телефон или планшет из недоверенных источников.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Apple улучшила защиту данных в iMessage и iCloud, а Apple ID теперь можно «закрыть» физическим ключом 4 ч.
VR-боевик Peaky Blinders: The King's Ransom даст почувствовать себя частью сериала «Острые козырьки» — опубликован геймплейный трейлер 6 ч.
Студия-разработчик Disco Elysium вернула украденные мошенниками €4,8 млн, но не всё так просто 7 ч.
Snapchat вдруг оказался среди самых популярных приложений в России 7 ч.
Microsoft скоро лишит браузер Edge поддержки Windows 7, 8 и 8.1 8 ч.
NVIDIA выпустила драйвер GeForce Game Ready 527.56 WHQL с поддержкой DLSS 3 для Portal с трассировкой лучей и The Witcher 3 9 ч.
В Microsoft Teams появилась бесплатная возможность организации сообществ 9 ч.
Количество мошеннических звонков в России через мессенджеры выросло в три раза 10 ч.
«Лаборатория Касперского» запустила сервис для поиска закладок в ПО open source 10 ч.
Объём вредоносов для Linux и Android растёт, но основной мишенью хакеров остаётся Windows 10 ч.
Телескоп «Джеймс Уэбб» помог учёным узнать больше о происхождении Южной кольцевой туманности 2 ч.
Новая статья: Обзор игрового 4K-монитора MSI Optix MAG281URF: теперь я здесь главный! 3 ч.
Астроном запечатлел момент появления Марса после затмения Луной 4 ч.
Выяснились процессорные планы Intel на 2023 год: Raptor Lake-S Refresh, Sapphire Rapids-WS и особые Sapphire Rapids-SP для рабочих станций 7 ч.
ICL и vStack объявили о партнёрстве 8 ч.
Выручка крупнейших контрактных производителей чипов выросла в третьем квартале, но дальше она будет падать 8 ч.
Foxconn инвестирует в индийскую промышленность ещё $500 млн 9 ч.
SK hynix представила самую быструю серверную память DDR5 MCR DIMM — она на 80 % опережает стандартные модули 9 ч.
ЕС назвал крайний срок по внедрению USB Type-C как стандарта для зарядки электроники — 28 декабря 2024 года 10 ч.
Meta разрешили вернуть VR-гарнитуры Quest в магазины Германии 10 ч.