The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.01.2015 12:42  Google прекратил выпуск обновлений для браузерного компонента Android 4.3 и более старых выпусков

Разработчики фреймворка Metasploit обратили внимание на прекращение выпуска исправлений для компонента WebView, используемого в Android для обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать web-содержимое.

Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств, остальные 60.8% Android-систем остаются с неисправленными уязвимостями. Политика поддержки старых выпусков заключается в том, что Google не будет принимать меры, если сообщения об уязвимостях в неактуальных версиях не сопровождаются готовыми патчами. Если патчи представлены, то Google готов довести исправления до партнёров и OEM-производителей, иначе он может лишь уведомить их о наличии проблемы, но без разработки исправления своими силами. Таким образом, ответственность за использование устаревших версий Android в прошивках актуальных моделей устройств ложится на производителей, которые должны сами позаботиться о подготовке исправлений уязвимостей.

В выпуске Android 4.4 компонент WebView был заменён на более современный движок, основанный на кодовой базе Chromium и начиная с выпуска Android 5.0 способный обновляться через Google Play. Устаревший движок, применяемый в Android 4.3 и более ранних выпусках, уже давно не обновлялся, что привело к созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в состав Metasploit и доступны публично, что позволяет использовать их для организации атак.

Проблема усугубляется появлением потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих принудительный переброс на сторонние страницы без каких-либо действий со стороны пользователя. Проброс осуществляется через получение JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением (под видом обращения к счётчику pix.stcounter.com загружается строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и только от opennet.ru в Google было отправлено 5 различных запросов, но централизованной блокировки подобных HTML5-баннеров не последовало.

В настоящее время данные баннеры используются лишь в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать код для эксплуатации уязвимостей и внедрения вредоносного ПО. Более того, нет никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, вредоносный код может отдаваться только при обнаружении уязвимой версии по идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки для выполнения любого JavaScript кода на любом сайте, участвующем в сети AdSense.

  1. Главная ссылка к новости (https://community.rapid7.com/c...)
  2. OpenNews: Началась работа над Invisible.im, системой обмена сообщениями для анонимных информаторов
  3. OpenNews: Анонсирован Android 5.0 "Lollipop", выпущен SDK и предварительные сборки
  4. OpenNews: Анонсирована мобильная платформа Android 4.4 и смартфон Nexus 5
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: android, security, google
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:53, 13/01/2015 [ответить] [смотреть все]    [к модератору]
  • +5 +/
    Вот вам и большой брат.
     
     
  • 2.12, Аноним, 14:29, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +4 +/
    Вот вам и большой ботнет. А гугл поможет его собрать.
     
     
  • 3.46, rshadow, 21:19, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]
  • +2 +/
    По факту новость бессмысленна Никто из производителей особо и не стремится выпу... весь текст скрыт [показать]
     
     
  • 4.59, Andrey Mitrofanov, 10:45, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Нет И новость больше не про производителей, а _для пользователей Чтоб были в к... весь текст скрыт [показать]
     
  • 4.70, Аноним, 14:00, 15/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    всего-лишь оптимизация расходов для высвобождения денежных средств, обновления п... весь текст скрыт [показать]
     
  • 1.2, A.Stahl, 12:54, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +15 +/
    Вот он -- опенсорс a la Google. Вроде и открыто, но все зависят от гуглорелизов.
    60% оборудования остаётся за бортом. Слава Гуглу -- локомотиву прогресса, отцепляющего старые вагоны.
    Тьфу.
     
     
  • 2.23, Crazy Alex, 15:19, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Ну так потребительское устройство всегда зависит либо от локального администрато... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 15:53, 13/01/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    У меня boost 2 se  как обновить его до 4.4
     
     
  • 4.34, Crazy Alex, 17:44, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вот тут http 4pda ru forum index php showtopic 551020 st 6640 валом прошивок ... весь текст скрыт [показать]
     
     
  • 5.40, й, 18:37, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    не закрывает нужно 4 3, т е от 4 4 и в этом и сыр-бор ... весь текст скрыт [показать]
     
     
  • 6.41, й, 18:38, 13/01/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > не закрывает. нужно < 4.3, т.е. от 4.4. и в этом и
    > сыр-бор.

    s/</>/

     
     
  • 7.49, Crazy Alex, 00:04, 14/01/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ДаЖ, точно. Ну, значит цианоген
     
     
  • 8.63, Неадекват, 12:20, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На бусте2се в цианогене не работают мобильные сети и гпс, что делает телефон чут... весь текст скрыт [показать]
     
     
  • 9.65, Crazy Alex, 20:51, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Значит, тебе не повезло и ты попал в число тех, для решения сейчас нет - по кра... весь текст скрыт [показать]
     
  • 3.33, й, 17:43, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    т е аж 0 09 ну да, как-то так, судя по сайту цианогена а остальным что делат... весь текст скрыт [показать]
     
     
  • 4.62, Фанатик, 12:14, 14/01/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    0.9%
     
  • 4.67, Crazy Alex, 21:02, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Т е аж 90 И кто говорил только о цианогене Он хорош, но дело им не ограничив... весь текст скрыт [показать]
     
  • 3.55, soarin, 09:05, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачастую неофициальные цыганомодские прошивки весьма плохо заилены Многое на ни... весь текст скрыт [показать]
     
     
  • 4.60, Andrey Mitrofanov, 10:52, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Я думаю, это не отдельный производитель , а культура экосистемы, заложенная гуг... весь текст скрыт [показать]
     
  • 2.27, Аноним, 16:20, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    У меня довольно старый телефон Официальные обновления закончились на 4 1 Но бл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, Crazy Alex, 00:05, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я бы сказал, что такие обновления просто лучше Если нет проблем с поддержкой же... весь текст скрыт [показать]
     
  • 2.28, _KUL, 16:24, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Редкий производитель телефонов заморачивается и после выхода модели телефона дел... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, soarin, 09:25, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Так что смысла от обновленного старого андройда особо нет ставьте фаерфокс с ма... весь текст скрыт [показать]
     
     
  • 4.61, Andrey Mitrofanov, 10:54, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проповедь потребл ства ... весь текст скрыт [показать]
     
  • 2.45, Аноним, 21:10, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Спасибо товарищу Линусу Который гплв2онли сделал ядро и ему плевать на тивоизац... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Crazy Alex, 00:07, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Уж на андроиде особых проблес с тивоизацией нет, рутится ифициально илил нет поч... весь текст скрыт [показать]
     
     
  • 4.64, Аноним, 18:07, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Охохо И давно так стало Не помнишь как ещё несколько лет назад многие не рутил... весь текст скрыт [показать]
     
     
  • 5.66, Crazy Alex, 20:57, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Несколько лет назад много чего было А сейчас - по факту половина рынка - это по... весь текст скрыт [показать]
     
     
  • 6.68, Аноним, 23:30, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Конкуренты то об этом знают Цифирьки наверное даже сейчас увидим по доле рынка ... весь текст скрыт [показать]
     
  • 6.73, anonymousZ, 18:43, 16/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очень интересно Именно для MTK нет нормальных ядер, и соответственно нет официа... весь текст скрыт [показать]
     
  • 1.3, Аноним, 12:57, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Запрограммированное устаревание теперь и в софте ...
     
     
  • 2.5, 1337, 13:20, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Оно как бы там на пару с железом by design
     
  • 2.16, Аноним, 14:34, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    >  Запрограммированное устаревание теперь и в софте ...

    Скорее запрограммированое западлостроение. К ботнету роутеров добавится ботнет смартов и планшетов. Кто там прикалывался про ботнет из чайников и кофеварок, трепещите - это следующий пункт программы.

     
  • 1.6, iZEN, 13:41, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Первые дозы, как говорится, бесплатно.
     
     
  • 2.10, Аноним, 14:10, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +18 +/
    Тебе виндее!
     
     
  • 3.17, Аноним, 14:34, 13/01/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    > Тебе виндее!

    Годная опечатка. Прямо по Фрейду^W Баллмеру.

     
  • 1.7, Анонимомус, 13:54, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    WebView обновлялся независимо от прошивки до 5.0? О_о

    Насколько я понимаю, WebView был вшит в прошивку и обновлялся только с прошивкой, собственно для тех, кого производитель кинул с обновлениями, ничего не поменялось после прекращения поддержки.

     
     
  • 2.20, Аноним, 15:00, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Очень странно выглядит новость на фоне того что в 99 случаем производители всё ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 15:28, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А это неважно Главное - шум поднять Наших бьют, атас, посоны А кто бьет, кого... весь текст скрыт [показать]
     
     
  • 4.37, клоун, 18:29, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    По меньшей мере, странное у вас отношение к безопасности Государство грозит зап... весь текст скрыт [показать]
     
     
  • 5.54, Аноним, 08:47, 14/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это про Великобританию и США Это про ЕС и США Когда хотели продавить законы в ... весь текст скрыт [показать]
     
  • 3.39, Аноним, 18:33, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну раньше то он хоть мог пересобрать свою версию прошивки с фиксами напр 4 3 , ... весь текст скрыт [показать]
     
  • 1.8, edwin3d, 14:00, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Единственно разумное объяснение такого рода шагу - попытка заставить производителей, которые клепают свои варианты и не заморачиваются корректностью перехода на новую версию улучшить ситуацию, чтобы все-же обновления к кастомным таки выходили и даже работали.
    Но метод варварский.
     
  • 1.9, Аноним, 14:06, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    а вот и гниль вылазиет, от тивоизации,
    бабки качать с кошелечков =)
     
  • 1.11, Аноним, 14:27, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Пришло время покупать новые телефоны. Новые телефоны сами себя не купят.
     
     
  • 2.22, A.Stahl, 15:18, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Пф-ф-ф Подожди немного -- следующая версия андроида будет самостоятельно заказы... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 14:30, 13/01/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну вот я и узнал, что для этого компонента, оказывается, выходили обновления А ... весь текст скрыт [показать]
     
     
  • 2.15, Аноним, 14:32, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    На ведроид 2 3 и старее он не ставится ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, AnonymousSL, 16:29, 13/01/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    На 2.3 ставится. И даже работает.
     
     
  • 4.35, Аноним, 18:02, 13/01/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А у меня менеджер программ заявил что формат пакета - не кошерный И досвидания ... весь текст скрыт [показать]
     
  • 2.57, soarin, 09:29, 14/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Ну это тебя никак не спасёт от этой уязвимости.
     
  • 1.18, commiethebeastie, 14:38, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    А какой тогда смысл от этого комплекта?
     
  • 1.21, Дима, 15:01, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Этот компонент без обновления прошивки не обновлялся, так что ни чего не поменялось :)
     
  • 1.30, Аноним, 16:29, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    iOS 8 (актуальная) - 68% эппл-устройств.
     
     
  • 2.36, Аноним, 18:04, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Я уж помню как эппл раздавал тормозной и уродский iOS без возможности отката Вс... весь текст скрыт [показать] [показать ветку]
     
  • 2.44, Аноним, 20:54, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Android 4.4.4 - 90% топовых девайсов.
     
  • 2.47, commiethebeastie, 21:31, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >iOS 8

    Бугага.

     
  • 1.48, electronik777, 23:18, 13/01/2015 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Госпади, во как всех тут прорвало. вы бы еще начали ныть от того что пентиум2/3 и иже с ним, не тащит четвёртые кеды в 1080p. и что интель/амди такие гАды не хотят бесплатно менять процы, а разрабы кедов забыли про электорат и на пентиум2/3 и иже с ним, всё тормозит и валится в кору, какие ужасные разрабы, нужно срочно сделать форк четвёртых кед. не ужели до вас не доходит что в этом мире вам никто ничем не обязан. не нравится прошивка 2.х? используй тело аля нокия 1100 или беги в магаз за новым с прошивкой 4.х/5.х
    сборище нытиков
     
     
  • 2.53, Аноним, 07:55, 14/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не прорвало, есть причина для недовольства И причина тому - отсутствие вменяемы... весь текст скрыт [показать] [показать ветку]
     
  • 2.58, soarin, 09:34, 14/01/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну просто есть примеры как iOS и WP, у которых в разы лучше с секурными обновлен... весь текст скрыт [показать] [показать ветку]
     
  • 1.69, Аноним, 05:43, 15/01/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Почините 5-ку постоянно отваливается звук. Зависает в целом.
     
  • 1.74, Аноним, 00:48, 19/01/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Очевидно же что ветку 2 хх надо еще минимум пару лет, а ветку 4 хх вообще миниму... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor