The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.01.2015 12:42  Google прекратил выпуск обновлений для браузерного компонента Android 4.3 и более старых выпусков

Разработчики фреймворка Metasploit обратили внимание на прекращение выпуска исправлений для компонента WebView, используемого в Android для обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать web-содержимое.

Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств, остальные 60.8% Android-систем остаются с неисправленными уязвимостями. Политика поддержки старых выпусков заключается в том, что Google не будет принимать меры, если сообщения об уязвимостях в неактуальных версиях не сопровождаются готовыми патчами. Если патчи представлены, то Google готов довести исправления до партнёров и OEM-производителей, иначе он может лишь уведомить их о наличии проблемы, но без разработки исправления своими силами. Таким образом, ответственность за использование устаревших версий Android в прошивках актуальных моделей устройств ложится на производителей, которые должны сами позаботиться о подготовке исправлений уязвимостей.

В выпуске Android 4.4 компонент WebView был заменён на более современный движок, основанный на кодовой базе Chromium и начиная с выпуска Android 5.0 способный обновляться через Google Play. Устаревший движок, применяемый в Android 4.3 и более ранних выпусках, уже давно не обновлялся, что привело к созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в состав Metasploit и доступны публично, что позволяет использовать их для организации атак.

Проблема усугубляется появлением потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих принудительный переброс на сторонние страницы без каких-либо действий со стороны пользователя. Проброс осуществляется через получение JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением (под видом обращения к счётчику pix.stcounter.com загружается строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и только от opennet.ru в Google было отправлено 5 различных запросов, но централизованной блокировки подобных HTML5-баннеров не последовало.

В настоящее время данные баннеры используются лишь в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать код для эксплуатации уязвимостей и внедрения вредоносного ПО. Более того, нет никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, вредоносный код может отдаваться только при обнаружении уязвимой версии по идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки для выполнения любого JavaScript кода на любом сайте, участвующем в сети AdSense.

  1. Главная ссылка к новости (https://community.rapid7.com/c...)
  2. OpenNews: Началась работа над Invisible.im, системой обмена сообщениями для анонимных информаторов
  3. OpenNews: Анонсирован Android 5.0 "Lollipop", выпущен SDK и предварительные сборки
  4. OpenNews: Анонсирована мобильная платформа Android 4.4 и смартфон Nexus 5
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: android, security, google
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:53, 13/01/2015 [ответить] [смотреть все]
  • +5 +/
    Вот вам и большой брат.
     
     
  • 2.12, Аноним, 14:29, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    Вот вам и большой ботнет. А гугл поможет его собрать.
     
     
  • 3.46, rshadow, 21:19, 13/01/2015 [^] [ответить] [смотреть все]
  • +2 +/
    По факту новость бессмысленна Никто из производителей особо и не стремится выпу... весь текст скрыт [показать]
     
     
  • 4.59, Andrey Mitrofanov, 10:45, 14/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет И новость больше не про производителей, а _для пользователей Чтоб были в к... весь текст скрыт [показать]
     
  • 4.70, Аноним, 14:00, 15/01/2015 [^] [ответить] [смотреть все]  
  • +/
    всего-лишь оптимизация расходов для высвобождения денежных средств, обновления п... весь текст скрыт [показать]
     
  • 1.2, A.Stahl, 12:54, 13/01/2015 [ответить] [смотреть все]  
  • +15 +/
    Вот он -- опенсорс a la Google. Вроде и открыто, но все зависят от гуглорелизов.
    60% оборудования остаётся за бортом. Слава Гуглу -- локомотиву прогресса, отцепляющего старые вагоны.
    Тьфу.
     
     
  • 2.23, Crazy Alex, 15:19, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Ну так потребительское устройство всегда зависит либо от локального администрато... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 15:53, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    У меня boost 2 se  как обновить его до 4.4
     
     
  • 4.34, Crazy Alex, 17:44, 13/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот тут http 4pda ru forum index php showtopic 551020 st 6640 валом прошивок ... весь текст скрыт [показать]
     
     
  • 5.40, й, 18:37, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    не закрывает нужно 4 3, т е от 4 4 и в этом и сыр-бор ... весь текст скрыт [показать]
     
     
  • 6.41, й, 18:38, 13/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    > не закрывает. нужно < 4.3, т.е. от 4.4. и в этом и
    > сыр-бор.

    s/</>/

     
     
  • 7.49, Crazy Alex, 00:04, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    ДаЖ, точно. Ну, значит цианоген
     
     
  • 8.63, Неадекват, 12:20, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    На бусте2се в цианогене не работают мобильные сети и гпс, что делает телефон чут... весь текст скрыт [показать]
     
     
  • 9.65, Crazy Alex, 20:51, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Значит, тебе не повезло и ты попал в число тех, для решения сейчас нет - по кра... весь текст скрыт [показать]
     
  • 3.33, й, 17:43, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    т е аж 0 09 ну да, как-то так, судя по сайту цианогена а остальным что делат... весь текст скрыт [показать]
     
     
  • 4.62, Фанатик, 12:14, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    0.9%
     
  • 4.67, Crazy Alex, 21:02, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Т е аж 90 И кто говорил только о цианогене Он хорош, но дело им не ограничив... весь текст скрыт [показать]
     
  • 3.55, soarin, 09:05, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Зачастую неофициальные цыганомодские прошивки весьма плохо заилены Многое на ни... весь текст скрыт [показать]
     
     
  • 4.60, Andrey Mitrofanov, 10:52, 14/01/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Я думаю, это не отдельный производитель , а культура экосистемы, заложенная гуг... весь текст скрыт [показать]
     
  • 2.27, Аноним, 16:20, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    У меня довольно старый телефон Официальные обновления закончились на 4 1 Но бл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, Crazy Alex, 00:05, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Я бы сказал, что такие обновления просто лучше Если нет проблем с поддержкой же... весь текст скрыт [показать]
     
  • 2.28, _KUL, 16:24, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Редкий производитель телефонов заморачивается и после выхода модели телефона дел... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, soarin, 09:25, 14/01/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Так что смысла от обновленного старого андройда особо нет ставьте фаерфокс с ма... весь текст скрыт [показать]
     
     
  • 4.61, Andrey Mitrofanov, 10:54, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Проповедь потребл ства ... весь текст скрыт [показать]
     
  • 2.45, Аноним, 21:10, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Спасибо товарищу Линусу Который гплв2онли сделал ядро и ему плевать на тивоизац... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Crazy Alex, 00:07, 14/01/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Уж на андроиде особых проблес с тивоизацией нет, рутится ифициально илил нет поч... весь текст скрыт [показать]
     
     
  • 4.64, Аноним, 18:07, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Охохо И давно так стало Не помнишь как ещё несколько лет назад многие не рутил... весь текст скрыт [показать]
     
     
  • 5.66, Crazy Alex, 20:57, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Несколько лет назад много чего было А сейчас - по факту половина рынка - это по... весь текст скрыт [показать]
     
     
  • 6.68, Аноним, 23:30, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Конкуренты то об этом знают Цифирьки наверное даже сейчас увидим по доле рынка ... весь текст скрыт [показать]
     
  • 6.73, anonymousZ, 18:43, 16/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Очень интересно Именно для MTK нет нормальных ядер, и соответственно нет официа... весь текст скрыт [показать]
     
  • 1.3, Аноним, 12:57, 13/01/2015 [ответить] [смотреть все]  
  • +5 +/
    Запрограммированное устаревание теперь и в софте ...
     
     
  • 2.5, 1337, 13:20, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Оно как бы там на пару с железом by design
     
  • 2.16, Аноним, 14:34, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    >  Запрограммированное устаревание теперь и в софте ...

    Скорее запрограммированое западлостроение. К ботнету роутеров добавится ботнет смартов и планшетов. Кто там прикалывался про ботнет из чайников и кофеварок, трепещите - это следующий пункт программы.

     
  • 1.6, iZEN, 13:41, 13/01/2015 [ответить] [смотреть все]  
  • +7 +/
    Первые дозы, как говорится, бесплатно.
     
     
  • 2.10, Аноним, 14:10, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +18 +/
    Тебе виндее!
     
     
  • 3.17, Аноним, 14:34, 13/01/2015 [^] [ответить] [смотреть все]  
  • +6 +/
    > Тебе виндее!

    Годная опечатка. Прямо по Фрейду^W Баллмеру.

     
  • 1.7, Анонимомус, 13:54, 13/01/2015 [ответить] [смотреть все]  
  • +2 +/
    WebView обновлялся независимо от прошивки до 5.0? О_о

    Насколько я понимаю, WebView был вшит в прошивку и обновлялся только с прошивкой, собственно для тех, кого производитель кинул с обновлениями, ничего не поменялось после прекращения поддержки.

     
     
  • 2.20, Аноним, 15:00, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Очень странно выглядит новость на фоне того что в 99 случаем производители всё ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 15:28, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А это неважно Главное - шум поднять Наших бьют, атас, посоны А кто бьет, кого... весь текст скрыт [показать]
     
     
  • 4.37, клоун, 18:29, 13/01/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    По меньшей мере, странное у вас отношение к безопасности Государство грозит зап... весь текст скрыт [показать]
     
     
  • 5.54, Аноним, 08:47, 14/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Это про Великобританию и США Это про ЕС и США Когда хотели продавить законы в ... весь текст скрыт [показать]
     
  • 3.39, Аноним, 18:33, 13/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну раньше то он хоть мог пересобрать свою версию прошивки с фиксами напр 4 3 , ... весь текст скрыт [показать]
     
  • 1.8, edwin3d, 14:00, 13/01/2015 [ответить] [смотреть все]  
  • +3 +/
    Единственно разумное объяснение такого рода шагу - попытка заставить производителей, которые клепают свои варианты и не заморачиваются корректностью перехода на новую версию улучшить ситуацию, чтобы все-же обновления к кастомным таки выходили и даже работали.
    Но метод варварский.
     
  • 1.9, Аноним, 14:06, 13/01/2015 [ответить] [смотреть все]  
  • +7 +/
    а вот и гниль вылазиет, от тивоизации,
    бабки качать с кошелечков =)
     
  • 1.11, Аноним, 14:27, 13/01/2015 [ответить] [смотреть все]  
  • +2 +/
    Пришло время покупать новые телефоны. Новые телефоны сами себя не купят.
     
     
  • 2.22, A.Stahl, 15:18, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Пф-ф-ф Подожди немного -- следующая версия андроида будет самостоятельно заказы... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 14:30, 13/01/2015 [ответить] [смотреть все]  
  • +/
    Ну вот я и узнал, что для этого компонента, оказывается, выходили обновления А ... весь текст скрыт [показать]
     
     
  • 2.15, Аноним, 14:32, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На ведроид 2 3 и старее он не ставится ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, AnonymousSL, 16:29, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    На 2.3 ставится. И даже работает.
     
     
  • 4.35, Аноним, 18:02, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А у меня менеджер программ заявил что формат пакета - не кошерный И досвидания ... весь текст скрыт [показать]
     
  • 2.57, soarin, 09:29, 14/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну это тебя никак не спасёт от этой уязвимости.
     
  • 1.18, commiethebeastie, 14:38, 13/01/2015 [ответить] [смотреть все]  
  • +/
    А какой тогда смысл от этого комплекта?
     
  • 1.21, Дима, 15:01, 13/01/2015 [ответить] [смотреть все]  
  • +4 +/
    Этот компонент без обновления прошивки не обновлялся, так что ни чего не поменялось :)
     
  • 1.30, Аноним, 16:29, 13/01/2015 [ответить] [смотреть все]  
  • +/
    iOS 8 (актуальная) - 68% эппл-устройств.
     
     
  • 2.36, Аноним, 18:04, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Я уж помню как эппл раздавал тормозной и уродский iOS без возможности отката Вс... весь текст скрыт [показать] [показать ветку]
     
  • 2.44, Аноним, 20:54, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Android 4.4.4 - 90% топовых девайсов.
     
  • 2.47, commiethebeastie, 21:31, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >iOS 8

    Бугага.

     
  • 1.48, electronik777, 23:18, 13/01/2015 [ответить] [смотреть все]  
  • –2 +/
    Госпади, во как всех тут прорвало. вы бы еще начали ныть от того что пентиум2/3 и иже с ним, не тащит четвёртые кеды в 1080p. и что интель/амди такие гАды не хотят бесплатно менять процы, а разрабы кедов забыли про электорат и на пентиум2/3 и иже с ним, всё тормозит и валится в кору, какие ужасные разрабы, нужно срочно сделать форк четвёртых кед. не ужели до вас не доходит что в этом мире вам никто ничем не обязан. не нравится прошивка 2.х? используй тело аля нокия 1100 или беги в магаз за новым с прошивкой 4.х/5.х
    сборище нытиков
     
     
  • 2.53, Аноним, 07:55, 14/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не прорвало, есть причина для недовольства И причина тому - отсутствие вменяемы... весь текст скрыт [показать] [показать ветку]
     
  • 2.58, soarin, 09:34, 14/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну просто есть примеры как iOS и WP, у которых в разы лучше с секурными обновлен... весь текст скрыт [показать] [показать ветку]
     
  • 1.69, Аноним, 05:43, 15/01/2015 [ответить] [смотреть все]  
  • –1 +/
    Почините 5-ку постоянно отваливается звук. Зависает в целом.
     
  • 1.74, Аноним, 00:48, 19/01/2015 [ответить] [смотреть все]  
  • +/
    Очевидно же что ветку 2 хх надо еще минимум пару лет, а ветку 4 хх вообще миниму... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor