차례:
구글이 더 이상 젤리 빈과 그 이전에 안드로이드의 "WebView"컴포넌트를위한 보안 패치를 개발하지 않는다는 최근의 계시는 다시 한 번 안드로이드 보안과 10 억 대 이상의 활성 디바이스를 보호하는 것과 관련된 도전에 주목했습니다. 1 월 12 일 Metasploit에 의해 처음 공개 된이 중앙 Android 구성 요소 업데이트에 대한 Google의 입장은 다음 날 널리보고되었습니다.
그렇다면 WebView 란 정확히 무엇이며, WebView 업데이트에 대한 Google의 입장은 Android 기기 소유자에게 어떤 의미가 있습니까? 그리고 여전히 Jelly Bean을 실행중인 경우 위험을 최소화하기 위해 무엇을 할 수 있습니까? 휴식 후 자세히 살펴 보겠습니다.
가장 먼저해야 할 일: WebView 란 무엇입니까?
Chrome 이외의 다른 웹 페이지를 보시겠습니까? WebView를보고있을 가능성이 있습니다.
WebView는 대부분의 Android 앱에서 웹 페이지를 렌더링하는 Android OS의 일부입니다. Android 앱에서 웹 컨텐츠를 볼 경우 WebView를보고있을 가능성이 있습니다. 이 규칙의 주요 예외는 Android 용 Chrome이며, 대신 앱에 내장 된 자체 렌더링 엔진을 사용합니다. Firefox와 같은 일부 타사 Android 브라우저에서도 마찬가지입니다.
이전 버전의 Android (4.3 이하)에서 WebView는 Safari 브라우저와 동일한 기술인 Apple의 Webkit 기반 코드를 사용합니다. Android 4.4 이상에서 WebView는 Chrome의 오픈 소스 기반 인 Chrome (Google Blink 엔진 사용)을 기반으로합니다. Android 5.0에서는 WebView가 별도의 앱으로 분리되어 펌웨어 업데이트를하지 않고도 Google Play를 통해 적시에 업데이트 할 수 있습니다.
무슨 일이야?
Metasploit의 보안 연구원은 Android 4.3의 WebView 구성 요소에서 여러 가지 보안 취약점을 발견하고이를 Google에 제출 한 후 [email protected] 에서 Google이 일반적으로 Android 4.4 이전 버전의 WebView에 대한 패치를 개발하지 않음을 알리는 이메일을 게시했습니다..
콘센트에서 발행 한 이메일 발췌 내용은 다음과 같습니다.
"영향을받는 버전이 4.4 이전 인 경우 일반적으로 패치를 직접 개발하지는 않지만 보고서를 고려하여 패치를 환영합니다. OEM에 알리지 않는 한 4.4 이전 버전에 영향을 미치는 보고서에 대해서는 조치를 취할 수 없습니다. 패치와 함께 제공되지 않습니다."
왜 나쁜가요?
Metasploit이 지적한 바와 같이 현재 활성화 된 Android 기기의 60 % 이상이 현재 Jelly Bean (Android 4.1-4.3) 이하를 실행 중이므로 WebView를 통해 탐색 할 때 웹 기반 Nasties에 노출 될 가능성이 있습니다. WebViews를 사용하여 웹의 콘텐츠를 표시하는 HTC, Samsung 및 LG와 같은 제조업체의 내장 웹 브라우저를 사용하는 Android 4.3 이하의 사용자에게는 특히 걱정됩니다.
Google이 이전 WebView 구현을위한 픽스를 적극적으로 개발하고 있지 않다는 사실은 OEM이 스스로이 부분을 패치해야한다는 것을 의미합니다.
Chrome 또는 Firefox와 같은 WebView 이외의 브라우저를 사용하는 Android 4.0-4.3 소유자는 선택한 웹 브라우저를 사용할 때 이러한 취약점에 노출되지 않습니다. 그러나 타사 앱의 WebView가 악성 사이트로 연결하는 경우 여전히 위험에 노출 될 수 있습니다. Feedly 및 Facebook과 같은 유명 응용 프로그램이 WebView를 사용하여 타사 콘텐츠를 표시한다는 점을 고려할 때 이는 정기적 인 웹 탐색 과정에서 맬웨어에 노출 될 가능성이 적습니다.
2015 년 1 월 5 일까지 끝나는 월별 Android 플랫폼 버전 번호
왜 그런지 이해 하는가 (또는 안드로이드 업데이트의 현실)
실제 문제는 Google이 WebView를 업데이트하지 않지만 많은 장치가 여전히 Android 4.3 이하를 실행하고 있다는 것입니다.
증상 (WebView 취약점)을 근본 원인과 혼동하기 쉽습니다. 실제 문제는 Google이 Jelly Bean의 WebView를 업데이트하지는 않지만 Google이 취한 조치에 관계없이 많은 장치가 업데이트 될 가능성이 거의없는 Android 4.3 이하를 계속 실행한다는 것입니다. Google이 Jelly Bean의 WebView 코드 (및 Ice Cream Sandwich 및 Gingerbread 's)에 대한 패치를 발행하더라도 사용자는 오늘날 Android 4.4를 기다리는 것처럼 여전히 OEM (및 이동 통신사)이 펌웨어 업데이트를 배포하기를 기다리고있을 것입니다. 그리고이 기기들의 제조사들이 전혀 업데이트를하지 않으려 고한다면, 안드로이드 4.3이나 그 이전 버전에 머물러 있지 않을 가능성이 있습니다.
Google은 1 년 전에 Jelly Bean 웹뷰 문제를 해결했습니다. 패치를 Android 4.4 KitKat이라고합니다.
- Alex Dobie (@alexdobie) 2015 년 1 월 14 일
Google의 관점에서이 문제에 대한 픽스는 1 년 전에 Android 4.4 KitKat이 출시되면서 릴리스되었습니다. 이상적인 세계에서 이는 OEM이 Jelly Bean 전화에 적용된 패치 일 것이므로 4.4가 출시 된 후 1 년 이상 안드로이드 4.3을 실행하는 사람은 아무도 없습니다. 안타깝게도 여러 분야의 노력에도 불구하고 Android 업데이트는 여전히 문제가 남아 있습니다.
그러나 은빛 안감이 있습니다. Google은 Android 5.0 이상에서 WebView를 쉽게 패치 할 수 있도록 조치를 취하고 있습니다.
지금 무엇?
Google은 Jelly Bean의 WebView에 대한 패치를 개발하지 않기 때문에 영향을받는 휴대폰 및 태블릿에서 자체 수정 프로그램을 개발하고 배포하는 것은 OEM의 책임입니다. 이러한 장치는 이미 상당히 오래된 버전의 OS를 실행하고 있으므로 제조업체와 통신 사업자가 적시에 무언가를 배포 할 수는 없습니다. 그리고 분명히, 구글이 자체 Jelly Bean WebView 패치를 개발했는지 여부에 관계없이 그럴 수 있습니다.
Google은 이미 Lollipop에서 WebView를 최신 상태로 유지할 수 있도록 조치를 취했습니다.
Android 4.3 이하를 실행하는 경우 Chrome 또는 Mozilla Firefox와 같이 WebView를 사용하지 않는 브라우저로 전환하는 것이 좋습니다. WebViews를 사용하는 다른 앱에서 자신을 보호하려면 항상 신뢰할 수있는 앱만 설치하고 웹을 탐색 할 때 기본 예방 조치를 취하는 것이 좋습니다. 예를 들어 Facebook을 사용하면 내장 브라우저를 비활성화하고 선택한 브라우저에서 웹 링크를 열 수 있습니다.
업데이트가 어려운 Android OS의 웹 연결 부분 인 WebView는 많은 사람들에게 영향을 미치며 앱 업데이트로 즉시 무효화 될 수없는 Android 익스플로잇을 찾고자하는 사람에게는 확실한 대상입니다. 이것이 Google이 Android 5.0 이상에서 OS와 독립적으로 WebView를 업데이트 할 수있게 한 이유입니다. Lollipop의 WebView에서 유사한 취약점이 발견되면 Google은 Play 스토어를 통해 업데이트를 푸시하고 완료합니다. 그러나 Android의 특성상 Lollipop이 Jelly Bean만큼 널리 퍼지는 데 시간이 걸릴 것입니다. 이는 대다수의 Android 사용자가 새로운 모듈 식 WebView 구현의 혜택을 받기까지 몇 년이 걸릴 수 있음을 의미합니다.