Logo hi.androidermagazine.com
Logo hi.androidermagazine.com
» सॉफ्टवेयर
सॉफ्टवेयर

वेबव्यू और एंड्रॉइड सुरक्षा पैच को समझना

वेबव्यू और एंड्रॉइड सुरक्षा पैच को समझना

विषयसूची:

Anonim

हाल ही में एक रहस्योद्घाटन हुआ कि Google अब जेली बीन में एंड्रॉइड के "वेबव्यू" घटक के लिए सुरक्षा पैच विकसित नहीं कर रहा है और इससे पहले एक बार फिर से एंड्रॉइड सुरक्षा पर स्पॉटलाइट लगाई गई है, और एक अरब या इतने सक्रिय उपकरणों को हासिल करने से जुड़ी चुनौतियां हैं। पहले 12 जनवरी को मेटास्प्लोइट द्वारा खुलासा किया गया था, इस केंद्रीय एंड्रॉइड घटक को अपडेट करने पर Google के रुख को व्यापक रूप से निम्नलिखित दिनों में सूचित किया गया है।

तो वास्तव में WebView क्या है, और Google के अपडेट पर WebView अपडेट का Android डिवाइस मालिकों के लिए क्या मतलब है? और अगर आप अभी भी जेली बीन चला रहे हैं, तो आप जोखिम को कम करने के लिए क्या कर सकते हैं? हम विराम के बाद एक विस्तृत जानकारी लेंगे।

पहली चीजें पहले: WebView क्या है?

Chrome के अलावा किसी भी वेब पेज को देखना? संभावना है कि आप एक WebView को देख रहे हैं।

अधिकांश Android ऐप्स में वेब पेज रेंडर करने के लिए जिम्मेदार WebView Android OS का हिस्सा है। यदि आप किसी Android ऐप में वेब सामग्री देखते हैं, तो संभावना है कि आप एक WebView को देख रहे हैं। इस नियम का प्रमुख अपवाद Android के लिए Google Chrome है, जो इसके बजाय ऐप में निर्मित अपने स्वयं के रेंडरिंग इंजन का उपयोग करता है। (कुछ फ़ायरफ़ॉक्स जैसे कुछ तृतीय-पक्ष Android ब्राउज़र के लिए जाता है।)

एंड्रॉइड के पुराने संस्करणों में (4.3 और नीचे), वेबव्यू ऐप्पल के वेबकिट पर आधारित कोड का उपयोग करता है - सफारी ब्राउज़र के पीछे एक ही तकनीक। एंड्रॉइड 4.4 और इसके बाद के संस्करण में, WebView क्रोमियम पर आधारित है, जो Google Chrome का खुला-स्रोत आधार है (जो Google के ब्लॉप इंजन का उपयोग करता है।)। एंड्रॉइड 5.0 में, वेबव्यू को एक अलग ऐप के रूप में तोड़ दिया गया था, संभवतः Google फर्मवेयर के माध्यम से समय पर अपडेट जारी करने की अनुमति देने के लिए फर्मवेयर अपडेट जारी किए बिना।

क्या चल रहा है?

Metasploit के सुरक्षा शोधकर्ताओं ने एंड्रॉइड 4.3 के वेबव्यू घटक में कई सुरक्षा कारनामों की खोज करने और उन्हें Google को सबमिट करने के बाद, [email protected] से एक ईमेल प्रकाशित किया है जिसमें खुलासा किया गया है कि Google आमतौर पर WebView के पूर्व-एंड्रॉइड 4.4 संस्करणों के लिए पैच विकसित नहीं करता है ।

आउटलेट द्वारा प्रकाशित ईमेल अंश:

"यदि प्रभावित संस्करण 4.4 से पहले है, तो हम आम तौर पर पैच को स्वयं विकसित नहीं करते हैं, लेकिन विचार के लिए रिपोर्ट के साथ पैच का स्वागत करते हैं। ओईएम को सूचित करने के अलावा, हम 4.4 से पहले संस्करणों को प्रभावित करने वाली किसी भी रिपोर्ट पर कार्रवाई नहीं कर पाएंगे। एक पैच के साथ नहीं हैं। ”

यह बुरा क्यों है?

जैसा कि मेटास्प्लोइट बताते हैं, वर्तमान में 60 प्रतिशत से अधिक सक्रिय एंड्रॉइड डिवाइस जेली बीन (एंड्रॉइड 4.1-4.3) या इससे पहले के संस्करण चला रहे हैं, संभावित रूप से वेबवेस्ट के माध्यम से ब्राउज़ करते समय उन्हें वेब-आधारित nasties के लिए खुला छोड़ देते हैं। यह विशेष रूप से एंड्रॉइड 4.3 और नीचे के उन लोगों के लिए चिंताजनक है जो एचटीसी, सैमसंग और एलजी (नाम के लिए लेकिन तीन) जैसे निर्माताओं से अंतर्निहित वेब ब्राउज़र का उपयोग करते हैं, जो वेब से सामग्री प्रदर्शित करने के लिए वेबव्यू का उपयोग करते हैं।

तथ्य यह है कि Google सक्रिय रूप से पुराने WebView कार्यान्वयन के लिए फ़िक्सेस विकसित नहीं कर रहा है, इसका मतलब यह है कि इस सामान को अपने दम पर पैच करने के लिए यह ओईएम पर निर्भर है।

Chrome या फ़ायरफ़ॉक्स जैसे गैर- WebView ब्राउज़र का उपयोग करने वाले Android 4.0-4.3 मालिक अपनी पसंद के वेब ब्राउज़र का उपयोग करते समय इन कमजोरियों के संपर्क में नहीं आएंगे। हालाँकि, वे तब भी जोखिम में पड़ सकते हैं जब किसी तृतीय-पक्ष ऐप का WebView उन्हें दुर्भावनापूर्ण साइट पर ले जाता है। यह नियमित वेब ब्राउजिंग के दौरान मालवेयर में चलने की तुलना में कम है, हालांकि फीडली और फेसबुक जैसे हाई-प्रोफाइल ऐप थर्ड-पार्टी कंटेंट को प्रदर्शित करने के लिए वेब व्यू का उपयोग करते हैं, यह असंभव से दूर है।

जनवरी 5, 2015 को समाप्त होने वाले महीने के लिए एंड्रॉइड प्लेटफॉर्म संस्करण संख्या।

यह समझ में क्यों आता है (या: एंड्रॉइड को अपडेट करने की वास्तविकता)

असली समस्या यह नहीं है कि Google WebView को अपडेट नहीं करेगा, लेकिन इतने सारे उपकरण अभी भी एंड्रॉइड 4.3 और नीचे चल रहे हैं।

मूल कारण के साथ - वेबव्यू कमजोरियों - लक्षण को भ्रमित करना आसान है। असली समस्या यह नहीं है कि Google जेली बीन के वेबव्यू को अपडेट नहीं करेगा, लेकिन इतने सारे डिवाइस अभी भी एंड्रॉइड 4.3 और नीचे चल रहे हैं, जिन्हें अपडेट किए जाने की बहुत कम संभावना है, भले ही Google जो भी कार्रवाई कर सकता है। भले ही Google जेली बीन के WebView कोड (और आइसक्रीम सैंडविच, और जिंजरब्रेड के) के लिए पैच जारी करने वाले थे, उपयोगकर्ता अभी भी फर्मवेयर अपडेट को धक्का देने के लिए ओईएम (और कैरियर) पर इंतजार कर रहे हैं, जैसे वे आज Android 4.4 पर इंतजार कर रहे हैं। और अगर इन उपकरणों के निर्माताओं ने अपडेट को सभी पर धकेलने की कोशिश की, तो संभावना है कि वे एंड्रॉइड 4.3 या इससे पहले शुरू करने के लिए अटक नहीं होंगे।

Google ने एक साल पहले जेली बीन वेबव्यू मुद्दा तय किया। पैच को एंड्रॉइड 4.4 किटकैट कहा जाता है।

- एलेक्स डॉबी (@alexdobie) 14 जनवरी 2015

Google के दृष्टिकोण से, इस मुद्दे का हल एंड्रॉइड 4.4 किटकैट के आगमन के साथ एक साल पहले जारी किया गया था। एक आदर्श दुनिया में, यह पैच ओईएम उनके जेली बीन फोन पर लागू होगा, और परिणामस्वरूप कोई भी 4.4 उपलब्ध होने के बाद एक साल से अधिक एंड्रॉइड 4.3 या उससे अधिक नहीं चलाएगा। दुर्भाग्य से, कई मोर्चों पर प्रयासों के बावजूद, एंड्रॉइड अपडेट एक क्रेपशूट के कुछ बने हुए हैं।

लेकिन एक सिल्वर लाइनिंग है - Google का यह सुनिश्चित करने के लिए कदम उठाना कि WebView को एंड्रॉइड 5.0 और उससे आगे पैच करना आसान है।

अब क्या?

क्योंकि Google जेली बीन के WebView को पैच विकसित नहीं कर रहा है, यह प्रभावित फोन और टैबलेट पर अपने स्वयं के सुधारों को विकसित करने और रोल करने के लिए ओईएम पर निर्भर है। यह देखते हुए कि ये डिवाइस पहले से ही ओएस का एक काफी पुराना संस्करण चला रहे हैं, हम निर्माताओं और वाहकों के लिए हमारी सांस रोक नहीं रहे हैं कि वे समय पर कुछ भी तैनात कर सकें। और स्पष्ट होने के लिए, यह संभवत: यह मामला होगा चाहे Google ने अपना खुद का जेली बीन WebView पैच विकसित किया हो या नहीं।

Google के पहले से ही सुनिश्चित करने के लिए उठाए गए कदम WebView लॉलीपॉप में अद्यतित रह सकते हैं।

यदि आप एंड्रॉइड 4.3 या उससे नीचे चला रहे हैं, तो हम एक ऐसे ब्राउज़र पर स्विच करने की सलाह देंगे, जो Google Chrome या मोज़िला फ़ायरफ़ॉक्स जैसे WebView का उपयोग नहीं करता है। WebViews का उपयोग करने वाले अन्य एप्लिकेशन में खुद को बचाने के लिए, हमेशा केवल उन ऐप्स को इंस्टॉल करना अच्छा होता है, जिन पर आप भरोसा करते हैं, और वेब ब्राउज़ करते समय बुनियादी सावधानी बरतते हैं। उदाहरण के लिए, फेसबुक आपको अपने अंतर्निहित ब्राउज़र को अक्षम करने और अपनी पसंद के ब्राउज़र में वेब लिंक खोलने की सुविधा देता है।

एंड्रॉइड ओएस के वेब-फेसिंग भाग के रूप में जिसे अपडेट करना मुश्किल है, वेबवॉइड किसी भी व्यक्ति के लिए एक बड़ा लक्ष्य है जो एंड्रॉइड के ऐसे कारनामों को ढूंढना चाहता है जो बड़ी संख्या में लोगों को प्रभावित करते हैं, और जिन्हें ऐप अपडेट द्वारा तुरंत बंद नहीं किया जा सकता है। इसीलिए Google ने Android 5.0 और उसके बाद के संस्करणों में स्वतंत्र रूप से WebView को अपडेट करना संभव बना दिया है। यदि लॉलीपॉप के वेबव्यू में इसी तरह की कमजोरियों का पता चला था, तो Google प्ले स्टोर के माध्यम से एक अपडेट को बाहर निकाल देगा और इसके साथ किया जाएगा। हालाँकि, एंड्रॉइड की प्रकृति के कारण, लॉलीपॉप के लिए जेली बीन के रूप में व्यापक रूप से कहीं भी पास होने में समय लगने वाला है। और इसका मतलब है कि यह नए, मॉड्यूलर WebView कार्यान्वयन से अधिकांश एंड्रॉइड उपयोगकर्ताओं को लाभ होने से सालों पहले हो सकता है।

सॉफ्टवेयर

संपादकों की पसंद