تم اكتشاف ثغرة أمنية تؤثر على الإصدار القديم من WebView في Android 4.3 والإصدارات السابقة من نظام تشغيل الهاتف المحمول. قالت Google إنها لم تعد تخطط لتحديث الوحدة في المستقبل. لكن هل نخاطر حقًا بأي شيء؟
يعد WebView أحد مكونات Android الموجودة في جميع إصدارات نظام التشغيل المحمول.هذه وحدة تسمح لك بعرض HTML أو CSS أو تنفيذ Javascript، باختصار عرض صفحة ويب، دون الحاجة إلى تطوير هذا العرض بنفسك. حتى إصدار Android 4.3، كان WebView يستخدم إصدارًا مختلفًا من Webkit، يختلف عن إصدار Chrome على أية حال.منذ Android 4.4، يأتي WebView المستخدم من Chromium.ومع ذلك، من الممكن استخدام الإصدار القديم من WebView في Android 4.4، خاصة عندما جعله مطور التطبيق متوافقًا مع الإصدارات السابقة من Android.
إن WebView القديم هذا هو الذي يهمنا هنا. بحسب شركة أبحاث متخصصة في الأمنRapid7,لم توقف Google تحديثات WebView القديم فحسب، بل تخطط أيضًا لعدم إصلاح أي عيوب أمنية محتملة. وبشكل ملموس، ستقوم Google فقط بتحديث وتصحيح كل ما يتعلق بـ WebView من Android 4.4 والإصدارات الجديدة من Android. وأكدت Google نفسها ذلك لـ Rapid 7 عبر عنوان البريد الإلكترونيالأمن@android.com:
"إذا كان إصدار WebView المتأثر موجودًا قبل Android 4.4، فإننا عمومًا لا نقوم بتطوير التصحيح بأنفسنا، ولكننا نخطر شركائنا بالمشكلة التي تمت مواجهتها."
تكمن المشكلة في أن Rapid7 سيجد بانتظام عيوبًا أو نقاط ضعف في الإصدار القديم من WebView. ويدعي Rapid7 أن جوجل كانت ستتوقف عن إجراء هذه التحديثات لأسباب تجارية بحتة، من أجل دفع المستخدمين إلى التحول إلى الهواتف الذكية الأحدث المجهزة بأحدث إصدارات Android. والذي يمثل حاليًا أكثر من 60% من قاعدة مستخدمي Android، أي ما يقرب من مليار مستخدم.
ومع ذلك، لا يشير Rapid7 إلى طبيعة أو خطورة العيوب ونقاط الضعف التي تجدها الشركة بانتظام في WebView. في الواقع، ما الذي يخاطر به مستخدمو الإصدارات "القديمة" من Android حقًا؟ لقد طرحنا السؤال على بيير أوليفييه ديبمان، مطور Android:
"لا يزال WebView يمثل نقطة ضعف لموردي منصات البرامج لسببين. الأول هو أن الأخير يجب أن يقبل المحتوى القابل للتنفيذ القادم من الخارج (ملفات جافا سكريبت، وما إلى ذلك). السبب الثاني هو أنه غالبًا ما يتم إنشاء الجسور بين النظام الأساسي وWebView للسماح لـ JavaScript بالوصول إلى الوظائف الأصلية. هذا هو الحال على سبيل المثال على نظام Android. في الماضي، كان على Google إصلاح العديد من العيوب الخطيرة إلى حد ما، وكان يستغرق أحيانًا وقتًا طويلاً لتوفير التصحيحات.ومع ذلك، فإن WebView لنظام Android 4.3 والإصدارات الأقدم اليوم، ليس عرضة للعيوب الخطيرة والقابلة للاستغلال تلقائيًا، على حد علمنا.. أعتقد أن ما نحتاج إلى فهمه من رد جوجل وخاصة استخدام كلمة "بشكل عام" هو أنه ما لم نثبت وجود خلل كبير يمكن استغلاله بطريقة متكررة وعن بعد، فلن يتمكنوا من الحصول على أيديهم قذرة. »
أحدث حل لملء هذه العيوب يأتي من المطورين أنفسهم. جزء من كود Android مفتوح المصدر، فمن الممكن تمامًا للمطورين المتحمسين أن يقوموا ببرمجة الإصلاحات بأنفسهم وتقديم WebView مصحح. ومن المؤسف أنه من غير المرجح أن يميلوا إلى سد كل ثغرة جديدة يتم اكتشافها.
هل تريد العثور على أفضل مقالات Frandroid على أخبار Google؟ يمكنك المتابعةفراندرويد على أخبار جوجلبنقرة واحدة.
