پاسخ گوگل به مساله امنیتی WebView در اندروید

به گزارش سافت گذر به نقل اززومیت؛ یک یا دو هفته پیش گزارش‌ها در خصوص مشکلی که به سیستم‌عامل اندروید گوگل و قابلیت موسوم به WebView مربوط می‌شد بالا گرفت. برای آن دسته از شما که با این قابلیت آشنایی ندارید، می‌توان چنین گفت که WebView خصوصیتی برای پشتیبانی از اپلیکیشن‌های غیررسمی و طرف سوم است که با استفاده از آن، اپلیکیشن‌ها قادر خواهند بود بدون منتقل کردن کاربر به مرورگر، صفحات وب را مستقیما به وی نشان دهند. بصورت خلاصه، به این خصوصیت می‌توان بعنوان نمایشگر متحوای وب در درون اپلیکیشن‌ها نگاه کرد.

مشکل از آنجا آغاز شد که گوگل تصمیم گرفت بصورت رسمی، پشتیبانی از WebView و ارائه‌ی بروزرسانی برای آن را برای هرکسی که از اندروید 4.3 آبنبات پاستیلی به قبل استفاده می‌کند متوقف کند. بنابراین اگر از نسخه‌های قدیمی اندروید استفاده کنید، خصوصیت WebView که البته یکی از قسمت‌های مورد تهاجم هکرها در موارد پیشین نیز بوده دیگر بروزرسانی نخواهد شد. آنچه در اصل توجه عموم را به خود جلب کرد، به این مساله مربوط می‌شد که اگرچه گوگل ارائه‌ی بروزرسانی‌های امنیتی برای WebView را در نسخه‌های قدیمی اندروید متوقف کرده، اما هیچ اعلام عمومی در این خصوص از سوی این شرکت صورت نگرفته است.

تشخیص این اتفاق بصورت کاملا تصادفی، و هنگامی روی داد که یک توسعه‌دهنده متوجه ایرادی در WebView شد و گوگل را از آن مطلع ساخت. نقطه آغاز روشن شدن ماجرا و اطلاع از عدم پشتیبانی از این قابلیت توسط گوگل همین ماجرا بود. گوگل اعلام کرده که از تلاش مستقل توسعه‌دهندگان برای ارائه وصله استقبال خواهد کرد اما خود در این زمینه دست به کار نخواهد شد؛ موضع‌گیری که وضعیت را از آنچه که بود وخیم‌تر کرد.

البته از نظر فنی باید به این مساله اشاره کرد که گوگل در برخورد با این ماجرا و تصمیم به عدم ارائه‌ی بروزرسانی، چندان هم مقصر نیست. زمانی که دستگاه‌های موبایل به سن خاصی (نزدیک به ۲ سال) می‌رسند، سازندگان این دستگاه‌ها ارائه‌ی بروزرسانی برای سیستم‌عامل آن‌ها را متوقف می‌کنند. بنابراین از این جهت که در واقع تولیدکنندگان مسئول ارائه‌ی وصله‌های ارائه شده توسط گوگل هستند، حتی اگر گوگل اقدام به تصحیح مشکل و ارائه‌ی بروزرسانی کند اما به احتمال بسیار، این وصله هیچ‌گاه به دست کاربر نخواهد رسید. در هر صورت گوگل از زمان درز این خبر هدف حمله‌ی کاربران و منتقدان بسیاری قرار گرفته و موجب شد سرانجام این شرکت بصورت نیمه‌رسمی به مساله پاسخ دهد.

بر اساس پست ارسال شده در گوگل پلاس توسط آدریان لودوینگ - مهندس ارشد بخش امنیتی گوگل، این شرکت از این پس از دستگاه‌های مجهز به اندروید 4.3 آبنبات پاستیلی از نظر ارائه‌ی بروزرسانی برای WebView پشتیبانی نخواهد کرد. در این پست چنین ذکر شده که چنین اقدامی از نظر فنی برای سیستم‌عاملی با این سن ممکن نخواهد بود.

اعمال وصله‌های امنیتی به شاخه‌ای از وب‌کیت که بیش از ۲ سال از ایجاد آن گذشته، نیازمند ایجاد تغییر در بخش بزرگی از کدهای برنامه خواهد بود و این اقدام از نظر فنی به گونه‌ای امن قابل اجرا نیست.

افزون بر این، در پست نیمه رسمی ارسال شده در گوگل پلاس، راه‌هایی به منظور «فرار» از نفوذپذیری برای کاربران چنین دستگاه‌هایی پیشنهاد شده است. راه‌حل اول، از این قرار است که کاربران تنها به استفاده از مرورگر مستقل برای مرور محتوای وب بپردازند؛ مرورگری که بصورت مرتب بروزرسانی دریافت کرده و از سیستم رندر محتوای خود بهره ببرد. این پست، مرورگرهای کروم و فایرفاکس را بعنوان نمونه‌های عالی پیشنهاد می‌کند. در قسمت دوم نیز این پست به ارائه‌ی توصیه‌هایی برای توسعه‌دهندگان می‌پردازد که به موجب آن قادر خواهند بود کاربران اپلیکیشن‌های خود را از پیچیدگی‌های حاصل از نفوذپذیری WebView ایمن نگاه دارند. این توصیه‌ها، شامل مواردی نظیر منحصر کردن محتوا به منابع مطمئن و ایجاد سیستم رندر محتوای اختصاصی به منظور حداکثر سازی سطح امنیت می‌شود.