Comprender los parches de seguridad webview y android

Una revelación reciente de que Google ya no está desarrollando parches de seguridad para el componente "WebView" de Android en Jelly Bean y anteriormente ha puesto nuevamente de relieve la seguridad de Android y los desafíos involucrados con la seguridad de los aproximadamente mil millones de dispositivos activos. Revelado por primera vez por Metasploit el 12 de enero, la postura de Google sobre la actualización de este componente central de Android se ha informado ampliamente en los días siguientes.

Entonces, ¿qué es exactamente WebView, y qué significa la postura de Google sobre las actualizaciones de WebView para los propietarios de dispositivos Android? Y si todavía está ejecutando Jelly Bean, ¿qué puede hacer para minimizar el riesgo? Echaremos un vistazo detallado después del descanso.

Primero lo primero: ¿Qué es WebView?

¿Ver una página web en algo que no sea Chrome? Lo más probable es que estés viendo un WebView.

WebView es la parte del sistema operativo Android responsable de representar las páginas web en la mayoría de las aplicaciones de Android. Si ve contenido web en una aplicación de Android, es probable que esté viendo un WebView. La principal excepción a esta regla es Google Chrome para Android, que utiliza su propio motor de renderizado, integrado en la aplicación. (Lo mismo ocurre con algunos navegadores Android de terceros como Firefox).

En versiones anteriores de Android (4.3 y versiones posteriores), WebView usa código basado en Webkit de Apple, la misma tecnología detrás del navegador Safari. En Android 4.4 y versiones posteriores, WebView se basa en Chromium, la base de código abierto de Google Chrome (que utiliza el motor Blink de Google). En Android 5.0, WebView se desglosó como una aplicación separada, presumiblemente para permitir actualizaciones oportunas a través de Google Play sin requerir la emisión de actualizaciones de firmware.

¿Que esta pasando?

Los investigadores de seguridad de Metasploit, después de descubrir varias vulnerabilidades de seguridad en el componente WebView de Android 4.3 y enviarlas a Google, han publicado un correo electrónico de [email protected] revelando que Google generalmente no desarrolla parches para las versiones anteriores a Android 4.4 de WebView.

Los extractos de correo electrónico publicados por el medio decían:

"Si la versión afectada es anterior a 4.4, generalmente no desarrollamos los parches nosotros mismos, pero damos la bienvenida a los parches con el informe para su consideración. Aparte de notificar a los OEM, no podremos tomar medidas sobre ningún informe que afecte versiones anteriores a 4.4 que no están acompañados con un parche ".

¿Porque es malo?

Como señala Metasploit, más del 60 por ciento de los dispositivos Android activos actualmente ejecutan Jelly Bean (Android 4.1-4.3) o anterior, lo que los deja potencialmente abiertos a los usuarios de Internet cuando navegan a través de un WebView. Esto es particularmente preocupante para aquellos con Android 4.3 y versiones posteriores que utilizan navegadores web integrados de fabricantes como HTC, Samsung y LG (por nombrar solo tres), que usan WebViews para mostrar contenido de la web.

El hecho de que Google no esté desarrollando activamente soluciones para implementaciones anteriores de WebView significa que depende de los OEM parchar estas cosas por su cuenta.

Los propietarios de Android 4.0-4.3 que usen navegadores que no sean WebView como Chrome o Firefox no estarán expuestos a estas vulnerabilidades cuando usen su navegador web de elección. Sin embargo, aún podrían estar en riesgo si WebView de una aplicación de terceros los dirige a un sitio malicioso. Esto es menos probable que encontrarse con malware en el curso de la navegación web regular, sin embargo, dado que las aplicaciones de alto perfil como Feedly y Facebook usan WebViews para mostrar contenido de terceros, no es imposible.

Números de versión de la plataforma Android para el mes que finaliza el 5 de enero de 2015.

Por qué tiene sentido (o: la realidad de actualizar Android)

El verdadero problema no es que Google no actualice WebView, sino que tantos dispositivos todavía ejecutan Android 4.3 y versiones inferiores.

Es fácil confundir el síntoma (vulnerabilidades de WebView) con la causa raíz. El verdadero problema no es que Google no actualice el WebView de Jelly Bean, sino que tantos dispositivos todavía ejecutan Android 4.3 y versiones posteriores con pocas posibilidades de actualizarse, independientemente de cualquier acción que Google pueda tomar. Incluso si Google emitiera parches para el código WebView de Jelly Bean (y el de Ice Cream Sandwich y Gingerbread), los usuarios aún estarían esperando a los OEM (y operadores) para lanzar actualizaciones de firmware, tal como esperan hoy en Android 4.4. Y si los fabricantes de estos dispositivos se inclinaran por las actualizaciones, es probable que no estén atascados en Android 4.3 o versiones anteriores para empezar.

Google solucionó el problema de la vista web de Jelly Bean hace más de un año. El parche se llama Android 4.4 KitKat.

- Alex Dobie (@alexdobie) 14 de enero de 2015

Desde la perspectiva de Google, la solución para este problema se lanzó hace más de un año con la llegada de Android 4.4 KitKat. En un mundo ideal, ese sería el parche que los OEM aplicaron a sus teléfonos Jelly Bean, y como resultado, nadie estaría ejecutando Android 4.3 o inferior más de un año después de que 4.4 estuviera disponible. Desafortunadamente, a pesar de los esfuerzos en múltiples frentes, las actualizaciones de Android siguen siendo una especie de desastre.

Pero hay un lado positivo: Google está tomando medidas para garantizar que WebView sea más fácil de parchar en Android 5.0 y más allá.

¿Ahora que?

Debido a que Google no desarrollará parches para WebView de Jelly Bean, depende de los OEM desarrollar y lanzar sus propias soluciones en los teléfonos y tabletas afectados. Dado que estos dispositivos ya están ejecutando una versión bastante antigua del sistema operativo, no estamos conteniendo el aliento para que los fabricantes y operadores implementen algo de manera oportuna. Y para ser claros, ese sería el caso independientemente de si Google desarrolló sus propios parches Jelly Bean WebView o no.

Google ya ha tomado medidas para asegurarse de que WebView pueda mantenerse actualizado en Lollipop.

Si está ejecutando Android 4.3 o inferior, le recomendamos que cambie a un navegador que no use WebView, como Google Chrome o Mozilla Firefox. En cuanto a protegerse en otras aplicaciones que usan WebViews, siempre es una buena idea instalar solo aplicaciones en las que confíe y tomar precauciones básicas al navegar por la web. Facebook, por ejemplo, le permite deshabilitar su navegador incorporado y abrir enlaces web en su navegador de elección.

Como una parte del sistema operativo Android orientada a la web que es difícil de actualizar, WebView es un objetivo obvio para cualquiera que desee encontrar vulnerabilidades de Android que afecten a un gran número de personas, y que no pueda ser anulada de inmediato por una actualización de la aplicación. Esa es seguramente la razón por la que Google ha permitido actualizar WebView independientemente del sistema operativo en Android 5.0 y más allá. Si se descubrieran vulnerabilidades similares en el WebView de Lollipop, Google simplemente enviaría una actualización a través de Play Store y terminaría de una vez. Sin embargo, debido a la naturaleza de Android, Lollipop tardará un tiempo en llegar a estar tan extendido como Jelly Bean. Y eso significa que podrían pasar años antes de que la mayoría de los usuarios de Android se beneficien de la nueva implementación modular de WebView.