گوگل در
پاسخ به مسالهی امنیتی موجود در قابلیت WebView اندروید 4.3 آبنبات
پاستیلی به قبل، اعلام کرده که این شرکت بیش از این به ارائهی بروزرسانی
برای این نسخه از اندروید ادامه نخواهد داد.
به گزارش سافت گذر به نقل اززومیت؛ یک یا دو هفته پیش گزارشها در خصوص مشکلی که به سیستمعامل اندروید
گوگل و قابلیت موسوم به WebView مربوط میشد بالا گرفت. برای آن دسته از
شما که با این قابلیت آشنایی ندارید، میتوان چنین گفت که WebView خصوصیتی
برای پشتیبانی از اپلیکیشنهای غیررسمی و طرف سوم است که با استفاده از آن،
اپلیکیشنها قادر خواهند بود بدون منتقل کردن کاربر به مرورگر، صفحات وب
را مستقیما به وی نشان دهند. بصورت خلاصه، به این خصوصیت میتوان بعنوان
نمایشگر متحوای وب در درون اپلیکیشنها نگاه کرد.
مشکل از آنجا آغاز شد که گوگل تصمیم گرفت بصورت رسمی، پشتیبانی از
WebView و ارائهی بروزرسانی برای آن را برای هرکسی که از اندروید 4.3
آبنبات پاستیلی به قبل استفاده میکند متوقف کند. بنابراین اگر از نسخههای
قدیمی اندروید استفاده کنید، خصوصیت WebView که البته یکی از قسمتهای
مورد تهاجم هکرها در موارد پیشین نیز بوده دیگر بروزرسانی نخواهد شد. آنچه
در اصل توجه عموم را به خود جلب کرد، به این مساله مربوط میشد که اگرچه
گوگل ارائهی بروزرسانیهای امنیتی برای WebView را در نسخههای قدیمی
اندروید متوقف کرده، اما هیچ اعلام عمومی در این خصوص از سوی این شرکت صورت
نگرفته است.
تشخیص این اتفاق بصورت کاملا تصادفی، و هنگامی روی داد که یک
توسعهدهنده متوجه ایرادی در WebView شد و گوگل را از آن مطلع ساخت. نقطه
آغاز روشن شدن ماجرا و اطلاع از عدم پشتیبانی از این قابلیت توسط گوگل همین
ماجرا بود. گوگل اعلام کرده که از تلاش مستقل توسعهدهندگان برای ارائه
وصله استقبال خواهد کرد اما خود در این زمینه دست به کار نخواهد شد؛
موضعگیری که وضعیت را از آنچه که بود وخیمتر کرد.
البته از نظر فنی باید به این مساله اشاره کرد که گوگل در برخورد با این
ماجرا و تصمیم به عدم ارائهی بروزرسانی، چندان هم مقصر نیست. زمانی که
دستگاههای موبایل به سن خاصی (نزدیک به ۲ سال) میرسند، سازندگان این
دستگاهها ارائهی بروزرسانی برای سیستمعامل آنها را متوقف میکنند.
بنابراین از این جهت که در واقع تولیدکنندگان مسئول ارائهی وصلههای ارائه
شده توسط گوگل هستند، حتی اگر گوگل اقدام به تصحیح مشکل و ارائهی
بروزرسانی کند اما به احتمال بسیار، این وصله هیچگاه به دست کاربر نخواهد
رسید. در هر صورت گوگل از زمان درز این خبر هدف حملهی کاربران و منتقدان
بسیاری قرار گرفته و موجب شد سرانجام این شرکت بصورت نیمهرسمی به مساله
پاسخ دهد.
بر اساس پست ارسال شده در گوگل پلاس توسط آدریان لودوینگ - مهندس ارشد
بخش امنیتی گوگل، این شرکت از این پس از دستگاههای مجهز به اندروید 4.3
آبنبات پاستیلی از نظر ارائهی بروزرسانی برای WebView پشتیبانی نخواهد
کرد. در این پست چنین ذکر شده که چنین اقدامی از نظر فنی برای سیستمعاملی
با این سن ممکن نخواهد بود.
اعمال وصلههای امنیتی به شاخهای از وبکیت که بیش از ۲ سال از ایجاد
آن گذشته، نیازمند ایجاد تغییر در بخش بزرگی از کدهای برنامه خواهد بود و
این اقدام از نظر فنی به گونهای امن قابل اجرا نیست.
افزون بر این، در پست نیمه رسمی ارسال شده در گوگل پلاس، راههایی به
منظور «فرار» از نفوذپذیری برای کاربران چنین دستگاههایی پیشنهاد شده است.
راهحل اول، از این قرار است که کاربران تنها به استفاده از مرورگر مستقل
برای مرور محتوای وب بپردازند؛ مرورگری که بصورت مرتب بروزرسانی دریافت
کرده و از سیستم رندر محتوای خود بهره ببرد. این پست، مرورگرهای کروم و
فایرفاکس را بعنوان نمونههای عالی پیشنهاد میکند. در قسمت دوم نیز این
پست به ارائهی توصیههایی برای توسعهدهندگان میپردازد که به موجب آن
قادر خواهند بود کاربران اپلیکیشنهای خود را از پیچیدگیهای حاصل از
نفوذپذیری WebView ایمن نگاه دارند. این توصیهها، شامل مواردی نظیر منحصر
کردن محتوا به منابع مطمئن و ایجاد سیستم رندر محتوای اختصاصی به منظور
حداکثر سازی سطح امنیت میشود.