Google прекращает предоставлять обновления для Android Jelly Bean и более ранних версий для компонента Webview

900+ миллионов пользователей оставлены без поддержки, так как Google заявляет, что прекратил предоставлять обновления безопасности для компонента Webview в Android 4.3 Jellybean и более ранних версиях

Грустно, но правда. Если вы один из тех людей, кто использует операционную систему Android 4.3 и более ранние версии на своем смартфоне и ждет, когда Google исправит уязвимость Android Same Origin Policy (SOP), то вы не получите этого от Google.

Устаревший недостаток SOP в Android, который был обнаружен Рафаем Балочем, пакистанским исследователем в области безопасности, затрагивает компонент webview стандартного браузера Android, установленного на около 930,000 смартфонов, работающих на Android 4.3 Jelly Bean и более ранних версиях.

Уязвимость в компоненте WebView возникает при замене атрибута ‘data’ данного HTML-объекта на схему URL JavaScript. Потенциальный хакер может использовать недостаток UXSS для извлечения данных cookie и содержимого страниц из уязвимого окна браузера.

Данная уязвимость может быть использована во всех версиях браузера Android Open Source Platform (AOSP), также известного как стандартный или предустановленный браузер Android. Уязвимость существует только в Android OS 4.3 Jellybean и более ранних версиях.

Специалисты Rapid7 Джо Венникс и Рафай совместно разработали код Metasploit для этой уязвимости, чтобы Google и другие производители смартфонов могли исправить недостаток.

Однако патч не был предоставлен. Тем временем, Trend Micro Labs обнаружила, что код Metasploit используется в дикой природе для захвата учетных записей Facebook пользователей, у которых смартфоны работают на Android 4.3 Jellybean и более ранних версиях.

Теперь Rapid7 обратился к Google с просьбой исправить эту критическую уязвимость, и они получили шокирующий ответ от Google. Google прекратил предоставление обновлений безопасности для Android 4.3 Jelly Bean и более ранних версий. Это был ответ, который получил исследователь безопасности из Metasploit от Google.

“Если затронутая версия [WebView] до 4.4, мы, как правило, не разрабатываем патчи самостоятельно, но приветствуем патчи с отчетом для рассмотрения. Кроме уведомления OEM, мы не сможем предпринять никаких действий по любому отчету, касающемуся версий до 4.4, которые не сопровождаются патчем.”

Удивленный исследователь безопасности, Тодд Бирдсли из сообщества Rapid7 Metasploit, сообщил об этом в блоге.

“Итак, Google больше не будет предоставлять патчи для 4.3. Это новость, вызывающая недоумение.” добавил он, “Я никогда не видел программы реагирования на уязвимости, которая зависела бы от того, чтобы сообщающий предоставил свой собственный патч, но, похоже, это позиция Google. Это изменение в политике безопасности показалось настолько странным, что я не мог поверить, что это действительно официальная политика Google.”

Чтобы подтвердить свой шок, Тодд обратился к безопасности Google и получил аналогичный ответ от команды безопасности Google.

Если затронутая версия [WebView] до 4.4, мы, как правило, не разрабатываем патчи самостоятельно, но уведомляем партнеров о проблеме[…] Если патчи предоставляются с отчетом или добавляются в AOSP, мы также рады предоставить их партнерам.

Похоже, что Google прекратил предоставление поддержки только для компонента Webview старых версий Android, потому что, когда Тодд уточнил, ему сказали, что “команда безопасности Android подтвердила, что другие компоненты до KitKat, такие как мультимедийные плееры, продолжат получать патчи.”

Проблема в том, что на данный момент только компонент Webview ранних версий Android оказался уязвимым, и, как доказали Trend Micro Labs, используется в дикой природе. Этот компонент должен быть исправлен во всех версиях как можно скорее, чтобы пользователи смартфонов на Android не подвергались эксплуатации из-за уязвимости SOP.

Это также означает, что около 930 миллионов смартфонов ждут, когда их могут эксплуатировать потенциальные хакеры и киберпреступники. Согласно последним данным о распространении Android от Google, 46 процентов устройств Android работают на Jelly Bean, за ним следует KitKat с 39.1 процента. Остальные пользователи Android находятся на Gingerbread (версии 2.3.3-2.3.7, используемые 7.8 процента устройств), Ice Cream Sandwich (версии 4.0.3 до 4.0.4, используемые 6.7 процента) и старом Froyo (версия 2.2, 0.4 процента).

Тодд Бирдсли заявил, что это самое “странное” решение Google.

Производители смартфонов, которые продавали эти смартфоны в прошлые годы, больше не заинтересованы в предоставлении патчей/поддержки для этих сборок. Так что кто предоставит патчи для этой критической уязвимости и защитит миллионы пользователей смартфонов на Android 4.3 и ниже, остается только догадываться.