WebView: il punto della situazione sulla Sicurezza di Android

Houston abbiamo un problema con la classe WebView, cosa possiamo fare? Huston abbiamo un problema con WebView, ci mandate la patch?

hacking-android-mobile-vulnerability in WebView

Partiamo con calma e andiamo a fare il punto della situazione per quello che riguarda il problema di sicurezza collegata alla classe WebView.

Come prima cosa vediamo che cos’è questa classe WebView e di che cosa si occupa.

Se si vuole fornire ai proprio utente un’applicazione web (basata solo su una comune pagina web) come parte di un’applicazione client, è possibile farlo grazie a WebView. La classe WebView è un’estensione della classe Android View che permette di visualizzare le pagine web come parte del layout di attività.

Però va subito precisato, che la classe WebView non comprende tutte le caratteristiche di una comune applicazione di tipo browser web sviluppata, con i controlli di navigazione o una barra degli indirizzi. Tutto ciò che la classe WebView fa, per impostazione predefinita, è mostrare una pagina web.

webview-loading-static-html

Adesso passiamo alla seconda parte del nostro argomento, ed è quello collegato al bug che mette in pericolo qualcosa come 950 milioni di dispositivi equipaggiati con Android.

Perché la classe WebView mette in pericolo Android?

Il tutto è partito una decina di giorni fa, quando Tod Beardsley analista di sicurezza informatica della società Rapid7 e anche supervisore del progetto Metasploit, ha segnalato la presenza di un gravissimo bug presente in WebView. Questo bug colpisce parecchi dispositivi, stiamo parlando di oltre 60% dei device Android. Si perché a quanto pare la versione interessata dal bug è presente da Android 4.3 e andando in giù fino alle precedenti. Quindi se hai un device con Android 4.4.x KitKat oppure Android 5.0.x Lollipop, puoi dormire sogni tranquilli.

Visto che si parla di oltre 950 milioni di dispositivi affetti da questo bug, Tod Beardsley, non sono state rilasciate al pubblico troppe informazioni e dettagli tecnici. in questo modo non si da la possibilità ai criminali informatici di sfruttare questo problema a loro favore.

Perché tutti hanno attaccato la Google?

Questa è una bella domanda. Bhe tutti attaccano Google, perché a quanto pare la Big G non vuole rilasciare la patch di sicurezza per chiudere il bug presente in WebView. Il tutto è partita da questa affermazione:

“If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.”

In poche parle, il team di sviluppo e la Google, non possono sviluppare una patch dedicata a WebVien e presente sulle versioni precedenti ad Android 4.4 KitKat.

Tutto questo ha suscitato in questi giorni un mega tam tam e un mega attacco alla Google, ed ecco che nella giornata di ieri Andrian Ludwing, ha rilasciato sul suo profilo di Google Plus una spiegazione ancor più dettaglia e anche una giustificazione alla situazione.

Principalmente Adrian dice che WebView attualmente è costituito da oltre 5 milioni di linee di codice, con migliaia di commit aggiunti ogni mese da vari sviluppatori. Questo significa che aggiornare WebView a versioni molto vecchie richiederebbe moltissimo tempo e si dovrebbe mettere le mani su gran parte del codice.

Diciamo che con questo piccolo riassunto la Google e il suo team di sviluppo si è ben giustifica e ha dato una risposta valida. Ovviamente, dobbiamo pensare anche all’altra parte della moneta, cioè la Google non può mettersi ad aggiornare tutte le versioni di Android, quando moltissime società che fanno parte dell’OEM non hanno la volontà di migrare ad Androdi 4.4.X KitKat i proprio dispositivi e continuato a spendere molte delle loro forze e risorse, nel tirare fuori versioni adattate per le loro esigenze e non pensano mai alla sicurezza dei loro utenti.

La soluzione temporanea:

Vi consigliamo di utilizzare le applicazioni browser come: Firefox, Chrome, Maxthon, Delphin o comunque tutte le applicazioni di tipo browser. Cercate di utilizzare il meno possibile applicazioni che vi rimandano a una pagina web all’interno dell’applicazione stessa. Tipo come fa l’applicazione di Facebook.

Per il momento questo è tutto quello che si può dire sul bug presente nella classe WebView, voi continuate a seguirci da vicino per altri dettagli e notizie a riguardo.

Vi invitiamo a leggere anche questi post:

Seguiteci anche su Facebook, Google Plus, Tumblr e Twitter, per restare sempre in contatto con noi e con le nostre guide.

Da sempre appassionato di informatica e tecnologia, cerco ogni giorno di migliorare la mia cultura generale in questi ambiti. A volte mi occupo anche con lo sviluppo di applicazioni mobile e non solo.

WebView: il punto della situazione sulla Sicurezza di Android ultima modifica: 2015-01-24T19:11:46+00:00 da Flavius Harabor