WebView の古いバージョンに影響を及ぼす脆弱性が、Android 4.3 以前のバージョンのモバイル OS で発見されました。 Googleは、今後このモジュールを更新する予定はないと述べた。しかし、私たちは本当に何かを危険にさらしているのでしょうか?

WebView は、モバイル OS のすべてのバージョンに存在する Android コンポーネントです。これは、この表示を自分で開発することなく、HTML、CSS、または Javascript の実行、つまり Web ページを表示できるようにするモジュールです。。 Android 4.3 までは、WebView は Chrome とは異なるバージョンの Webkit を使用していました。Android 4.4 以降、使用される WebView は Chromium からのものです。ただし、特にアプリケーション開発者が以前のバージョンの Android と互換性を持たせている場合は、Android 4.4 で古いバージョンの WebView を使用することができます。

ここで興味があるのはこの古い WebView です。セキュリティ専門調査会社によるとラピッド7Googleは古いWebViewの更新を停止しただけでなく、潜在的なセキュリティ上の欠陥も修正しない予定です。具体的には、Google は Android 4.4 および Android の新しいバージョンの WebView に関連するすべてのもののみを更新および修正します。 Google 自身も電子メール アドレスを通じて Rapid 7 にこのことを確認しました[email protected]:

影響を受ける WebView のバージョンが Android 4.4 より前の場合、通常、弊社ではパッチを自社で開発しませんが、発生した問題についてはパートナーに通知します。

問題は、Rapid7 が古いバージョンの WebView 内の欠陥や脆弱性を定期的に検出することです。そして、Rapid7は、GoogleはユーザーにAndroidの最新バージョンを搭載した新しいスマートフォンへの乗り換えを促すため、純粋に商業的な理由でこうしたアップデートの実施を中止しただろうと主張している。これは現在、Android ユーザー ベースの 60% 以上、つまり約 10 億人のユーザーを占めています。

ただし、Rapid7 は、同社が WebView 内で定期的に発見している欠陥や脆弱性の性質や深刻度を示していません。実際、Android の「古い」バージョンを使用しているユーザーは実際にどのようなリスクを抱えているのでしょうか? Android 開発者である Pierre-Olivier Dybman に次の質問をしました。

「WebView は、2 つの理由からソフトウェア プラットフォーム ベンダーにとって依然として悩みの種です。 1 つ目は、後者は外部からの実行可能コンテンツ (JavaScript ファイルなど) を受け入れる必要があることです。 2 番目の理由は、JavaScript がネイティブ関数にアクセスできるようにするために、プラットフォームと WebView の間のブリッジが構築されることが多いためです。これは、たとえば Android の場合に当てはまります。以前、Google はいくつかのかなり深刻な欠陥を修正する必要があり、パッチの提供に長い時間がかかることもありました。ただし、現時点では、Android 4.3 以前の WebView は、私たちの知る限り、自動的に悪用可能な重大な欠陥に対して脆弱ではありません。。 Google の反応、特に「一般的に」という言葉の使用から理解する必要があるのは、反復可能な方法で、そして遠方から悪用できる重大な欠陥の存在を示さない限り、Google は情報を得ることができないということだと思います。彼らの手は汚れています。 »

これらの欠陥を埋めるための最新のソリューションは、開発者自身によって提供されています。 Android コードの一部はオープン ソースであるため、意欲のある開発者が自分で修正をコード化し、修正された WebView を提供することは完全に可能です。残念ながら、新たな抜け穴が発見されるたびに彼らがそれを埋める傾向にあるとは考えにくいです。