Смартфоны под управлением Android, которые не работают на свежих версиях операционной системы, могут в 2015 году оказаться под ударом хакеров. Исследователи информационной безопасности предупреждают пользователей, что один из основных компонентов мобильной операционки больше не получает обновления. Речь идет об инструменте WebView в Android 4.3 Jelly Bean и более старых версиях, который компания Google решила забросить без предупреждения пользователей. Как следствие, две трети владельцев смартфонов под управлением Android, а именно 939 000 000 пользователей, остались без защиты со стороны разработчика платформы. Компонент WebView в Android позволяет приложениям отображать веб-страницы без необходимости открывать браузер или другую программу. Это используется в огромном количестве софта и рекламных сетях, а заодно пользуется популярностью среди хакеров. WebView можно сравнить с Internet Explorer на Windows — именно он в большинстве случаев становится вектором атаки для удаленного выполнения вредоносного кода в операционной системе.
Важно понимать, что отсутствие обновлений WebView в Android 4.3 Jelly Bean и более старых версиях операционной системы не является абстрактной угрозой в неопределенном будущем. Атаки можно проводить уже сейчас, поскольку в наличии есть несколько общеизвестных эксплойтов. В Android 4.4 WebView был заменен на более современный движок, основанный на кодовой базе Chromium. Проблема в том, что KitKat и Lollipop лишь на на 39.2% устройств. На всех остальных проблемный компонент не обновлялся так давно, что злоумышленникам удалось создать одиннадцать рабочих эксплойтов. Несколько дней назад они были включены в состав Metasploit и стали доступны публично, что позволяет использовать их для организации атак. Одной из ключевых причин пристального внимания хакеров к компоненту WebView является его способность взаимодействовать с другими частями Android, включая предоставление доступа к базовой функциональностью телефона.
Проблема усугубляется появлением потенциально вредоносных рекламных блоков в рекламной сети Google AdSense, осуществляющих принудительную отправку пользователя на сторонние страницы без каких-либо предупреждений или подтверждений. Это осуществляется получением JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением. В настоящее время данные баннеры используются в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнет отдавать код для использования уязвимостей и внедрения вредоносного кода. Более того, нет гарантий, что подобные атаки выборочно не осуществляются уже сейчас, поскольку вредоносный код может отдаваться только при обнаружении уязвимой версии браузера по идентификатору, а в остальных случаях происходит обычный редирект. Что важно, отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передается с сайта, минуя баннерную сеть. Это позволяет злоумышленникам использовать уже размещенные и прошедшие подтверждение блоки для выполнения любого JavaScript-кода на любом сайте, участвующем в сети AdSense.
В этой ситуации хуже всего тот факт, что политика компании Google по отношению к старым версиям программного обеспечения не предусматривает разработку критических обновлений. Только если сообщения об уязвимостях сопровождаются уже готовыми патчами, есть шанс на исправление — Google передаст нужную информацию партнерам и производителям. Android — операционная система с открытым исходным кодом, что подразумевает наличие технической возможности всем желающим приять участие в создании патчей. Однако шанс того, что каждый производитель возьмет их на вооружение и выпустит обновления для всех устройств под управлением Android 4.3 и старше, стремится к нулю. Да и вообще, не кажется ли странным такой подход, что исследователи безопасности одновременно с обнаружением ошибки и отправкой отчета в Google должны на энтузиазме заняться разработкой исправлений?
Несмотря на публикацию сведений об этой уязвимости крупнейшими СМИ, включая Forbes, компания Google пока не отреагировала на обвинения в создании потенциально опасной ситуации для миллионов пользователей из-за отсутствия обновлений WebView. Сотрудники корпорации смогли лишь предложить владельцам устройств обновиться на версию Android 4.4 и новее, где такой проблемы нет. Однако нужно ли говорить, что получение свежей прошивки совершенно не зависит от желания пользователей, каким бы сильным оно ни было? Единственным слабым утешением может быть тот факт, что в Android 5.0 Lollipop компонент WebView, равно как некоторые другие важные части операционной системы были отделены для возможности получения новых версий через Google Play, а не только с обновлением прошивки производителем устройства. Впрочем, не стоит также исключать возможность обнаружения уязвимостей в актуальных версиях операционной системы после окончания их жизненного цикла. Будет ли Google менять политику в плане выпуска критических исправлений, либо всегда миллионы смартфонов будут иметь шанс подвергнуться атакам злоумышленников?