Noções básicas sobre webview e patches de segurança do Android

Uma revelação recente de que o Google não está mais desenvolvendo patches de segurança para o componente "WebView" do Android no Jelly Bean e, mais uma vez, destacou novamente a segurança do Android e os desafios envolvidos na proteção de um bilhão de dispositivos ativos. Revelada pela primeira vez pelo Metasploit em 12 de janeiro, a posição do Google em atualizar esse componente central do Android foi amplamente divulgada nos dias seguintes.

Então, o que exatamente é o WebView e o que a posição do Google sobre as atualizações do WebView significa para os proprietários de dispositivos Android? E se você ainda estiver executando o Jelly Bean, o que você pode fazer para minimizar o risco? Vamos dar uma olhada detalhada após o intervalo.

Primeiras coisas primeiro: O que é o WebView?

Visualizando uma página da Web em qualquer coisa além do Chrome? Provavelmente, você está vendo um WebView.

O WebView é a parte do sistema operacional Android responsável por renderizar páginas da Web na maioria dos aplicativos Android. Se você vir conteúdo da Web em um aplicativo Android, é provável que esteja visualizando um WebView. A principal exceção a essa regra é o Google Chrome para Android, que usa seu próprio mecanismo de renderização, incorporado ao aplicativo. (O mesmo vale para alguns navegadores Android de terceiros, como o Firefox.)

Nas versões mais antigas do Android (4.3 e abaixo), o WebView usa código baseado no Webkit da Apple - a mesma tecnologia por trás do navegador Safari. No Android 4.4 e superior, o WebView é baseado no Chromium, a base de código aberto do Google Chrome (que usa o mecanismo Blink do Google). No Android 5.0, o WebView foi dividido como um aplicativo separado, presumivelmente para permitir atualizações oportunas através do Google Play, sem a necessidade de atualizações de firmware.

O que está acontecendo?

Pesquisadores de segurança da Metasploit, depois de descobrir várias explorações de segurança no componente WebView do Android 4.3 e enviá-las ao Google, publicaram um email de [email protected], revelando que o Google geralmente não desenvolve patches para as versões anteriores ao Android 4.4 do WebView.

Os trechos de e-mail publicados pela agência diziam:

"Se a versão afetada é anterior à 4.4, geralmente não desenvolvemos os patches, mas aceitamos os patches com o relatório para consideração. Além de notificar os OEMs, não poderemos agir em nenhum relatório que esteja afetando as versões anteriores ao 4.4. não são acompanhados de um adesivo ".

Por que isso é ruim?

Como o Metasploit salienta, mais de 60% dos dispositivos Android ativos estão atualmente executando o Jelly Bean (Android 4.1-4.3) ou anterior, potencialmente deixando-os abertos a coisas ruins da Web ao navegar por um WebView. Isso é particularmente preocupante para os que usam o Android 4.3 e abaixo, usando navegadores da Web incorporados de fabricantes como HTC, Samsung e LG (para citar apenas três), que usam o WebViews para exibir conteúdo da Web.

O fato de o Google não estar desenvolvendo ativamente correções para implementações mais antigas do WebView significa que os OEMs devem corrigir esses itens por conta própria.

Os proprietários do Android 4.0-4.3 que usam navegadores que não são do WebView, como o Chrome ou o Firefox, não serão expostos a essas vulnerabilidades ao usar o navegador de sua escolha. No entanto, eles ainda podem estar em risco se o WebView de um aplicativo de terceiros os direcionar para um site malicioso. Isso é menos provável do que se deparar com malware durante a navegação regular na Web, no entanto, dado que aplicativos de alto perfil como Feedly e Facebook usam WebViews para exibir conteúdo de terceiros, está longe de ser impossível.

Números de versão da plataforma Android para o mês que termina em 5 de janeiro de 2015.

Por que meio que faz sentido (ou: a realidade da atualização do Android)

O verdadeiro problema não é que o Google não atualize o WebView, mas que muitos dispositivos ainda estejam executando o Android 4.3 e inferior.

É fácil confundir o sintoma - vulnerabilidades do WebView - com a causa raiz. O verdadeiro problema não é que o Google não atualize o WebView de Jelly Bean, mas que muitos dispositivos ainda estejam executando o Android 4.3 e inferior com poucas perspectivas de atualização, independentemente de qualquer ação do Google. Mesmo que o Google emitisse patches para o código WebView de Jelly Bean (e Ice Cream Sandwich e Gingerbread), os usuários ainda esperariam que os OEMs (e operadoras) enviassem atualizações de firmware, assim como estão esperando no Android 4.4 hoje. E se os fabricantes desses dispositivos estivessem dispostos a lançar atualizações, é provável que não fiquem presos no Android 4.3 ou anterior, para começar.

O Google corrigiu o problema de visualização na web do Jelly Bean há mais de um ano. O patch é chamado Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 de janeiro de 2015

Da perspectiva do Google, a correção para esse problema foi lançada há mais de um ano com a chegada do Android 4.4 KitKat. Em um mundo ideal, esse seria o patch que os OEMs aplicavam aos seus telefones Jelly Bean e, como resultado, ninguém estaria executando o Android 4.3 ou inferior mais de um ano após o 4.4 estar disponível. Infelizmente, apesar dos esforços em várias frentes, as atualizações do Android continuam sendo um crapshoot.

Mas há um lado positivo: o Google está tomando medidas para garantir que o WebView seja mais fácil de corrigir no Android 5.0 e além.

E agora?

Como o Google não desenvolverá patches para o WebView da Jelly Bean, cabe aos OEMs desenvolver e implantar suas próprias correções nos telefones e tablets afetados. Dado que esses dispositivos já estão executando uma versão bastante antiga do sistema operacional, não estamos prendendo a respiração para que os fabricantes e operadoras implementem qualquer coisa em tempo hábil. E, para ficar claro, esse provavelmente seria o caso, independentemente de o Google ter desenvolvido seus próprios patches Jelly Bean WebView ou não.

O Google já tomou as medidas necessárias para garantir que o WebView possa ficar atualizado no Lollipop.

Se você estiver executando o Android 4.3 ou inferior, recomendamos a mudança para um navegador que não use o WebView, como Google Chrome ou Mozilla Firefox. Quanto à proteção de outros aplicativos que usam o WebViews, é sempre uma boa ideia instalar apenas aplicativos confiáveis ​​e tomar precauções básicas ao navegar na Web. O Facebook, por exemplo, permite desativar o navegador interno e abrir links da Web no seu navegador preferido.

Como uma parte voltada para a Web do sistema operacional Android que é difícil de atualizar, o WebView é um alvo óbvio para quem deseja encontrar explorações do Android que afetam um grande número de pessoas e que não podem ser anuladas imediatamente por uma atualização de aplicativo. É certamente por isso que o Google tornou possível atualizar o WebView independentemente do sistema operacional no Android 5.0 e posterior. Se vulnerabilidades semelhantes fossem descobertas no WebView do Lollipop, o Google simplesmente enviaria uma atualização pela Play Store e terminaria. No entanto, devido à natureza do Android, o Lollipop levará algum tempo para se tornar tão difundido quanto o Jelly Bean. E isso significa que pode levar anos até que a maioria dos usuários do Android se beneficie da nova implementação modular do WebView.