Хакеры могут возрадоваться: теперь им доступно целое меню разнообразных уязвимостей в Android. Стало известно, что Google прекращает выпускать патчи брешей в WebView для более ранних версий Android.

Исследователи из Rapid7, выпускающие эксплойты для WebView в Android Jelly Bean 4.0–4.3 и более ранних версиях, доказали, что этот компонент, ответственный за визуализацию веб-страниц, дырявый как решето. Среда Metasploit Framework, в которой резвятся хакеры из Rapid7, содержит 11 эксплойтов WebView, большую часть которых создали эксперты Рафай Балоч (Rafay Baloch) и Джо Венникс (Joe Vennix).

Начиная с версии Android 4.4 (KitKat), WebView получил апгрейд и теперь использует базовый код Chromium — такой же, как в браузере Chrome. Получив недавно свежий отчет об уязвимостях в версиях Android старше 4.4, представители Google сообщили исследователям из Rapid7, что компания больше не будет выпускать заплатки для багов в компоненте WebView и продолжит поддерживать только KitKat и самую свежую версию ОС, Lollipop.

«Если уязвимая версия [WebView] ниже 4.4, мы не разрабатываем собственные патчи, но при этом приветствуем их создание сторонними разработчиками и публикацию вместе с отчетом о безопасности — такой ответ от Google получили в Rapid7, по словам старшего инженера Тода Бирдсли (Tod Beardsley). — Мы не сможем предпринять каких-либо действий помимо уведомления OEM-партнеров, если отчет касается версий Android раньше 4.4 и при этом не предлагает соответствующего патча».

Возможно, в этом случае перекладывание ответственности на OEM-партнеров означает, что Google просто следует своей бизнес-модели, в соответствии с которой компания поддерживает только текущие версии ОС. Google по-прежнему предоставляет патчи для устройств Nexus и сотрудничает с OEM-производителями в поисках уязвимостей в более ранних версиях Android, но это весьма слабое утешение для миллионов владельцев Android-устройств.

«Это очень большая неприятность для пользователей уязвимых версий Android, но ответственность за эту ситуацию нельзя переложить на Google, это не их вина, — считает Джон Оберхайде (Jon Oberheide), технический директор компании Duo Security. — Google обеспечивает поддержку коду AOSP, где как раз требуются патчи, а латание соответственных устройств и обеспечение доставки OTA-обновлений — это забота OEM-партнеров Google и операторов».

В то же время полагаться на регулярную доставку обновлений операторами — пустая затея. Несмотря на давление, оказываемое федеральными бюро на операторов и производителей с целью обеспечивать своевременное обновление Android, успеха в этом отношении добиться не удалось.

«К сожалению, наш прошлый опыт (например, проект X-Ray) показал, что в этом отношении OEM-производители и операторы ужасно ненадежны: они практически никогда не латают бреши в системе безопасности своевременно, и многие уязвимости остаются непропатченными довольно долго, а иногда навсегда, подвергая пользователей риску», — объяснил Оберхайде.

В 2013 году Федеральная торговая комиссия (ФТК) США сурово наказала HTC за то, что производитель не сумел вовремя закрыть уязвимости в Android-устройствах, из-за чего многие пользователи стали жертвами атак, утечки персональной информации и даже преследования и угроз в реальной жизни. Стороны достигли соглашения во внесудебном порядке, что многого стоило HTC: компанию обязали разработать и опубликовать патчи для всех устройств, принять новую программу информационной безопасности и проходить регулярные аудиты безопасности в течение 20 лет.

Позже в том же году Союз гражданских свобод США подал в ФТК жалобу на операторов Verizon, AT&T, Sprint-Nextel и TMobile в связи с их нежеланием предоставлять патчи для уязвимостей в Android. В своем заявлении организация просила ФТК оказать на операторов давление, чтобы они предупреждали пользователей о наличии незакрытых уязвимостей и предоставляли абонентам в этой связи возможность досрочно расторгнуть контракт без штрафных санкций.

По словам Бирдсли, Google сообщила Rapid7 о том, что более не будет сертифицировать сторонние устройства с AOSP-браузером; таким образом, обновление до последней версии Android является необходимым шагом для обеспечения безопасности мобильного устройства.

«С одной стороны, это вполне резонное решение. Прекращение поддержки версий ОС более чем на два поколения старше текущей — общепринятая практика в мире как проприетарной, так и открытой разработки ПО. В конце концов многие разработчики прекращают поддержку устаревшей версии, как только выходит новая, а некоторые вообще не имеют прозрачной политики относительно сроков поддержки программного продукта», — отметил Бирдсли.

Однако, по данным сообщества разработчиков Android, 60% пользователей Android используют Jelly Bean 4.3 и более ранних версий — это приблизительно 930 млн устройств.

«Политика обновления Android предполагает, что производители и операторы должны подписываться только на обновления, выпускаемые Google, и мне трудно представить, что этот процесс станет лучше, особенно теперь, когда Google умыла руки, — сказал Бирдсли. — Маловероятно, что AT&T или Motorola применят патч, который разработал какой-то неизвестный программист с форума, не так ли?»

Категории: Уязвимости