Google zveřejnil krátkou recenzi změn v nejnovější verzi WebView. Android WebView je systémová komponenta pro Android, která umožňuje aplikacím Android zobrazovat obsah z webu přímo v aplikaci.
Počínaje Androidem Lollipop se Google rozhodl distribuovat WebView jako nezávislý soubor APK aktualizovaný z Obchodu Play každých šest týdnů. Cílem je rychle dodat kritické opravy uživatelům, protože služba zaznamenala několik vážných bezpečnostních hlavolamů. Nejnovější verze aplikace přináší také několik důležitých bezpečnostních vylepšení.
Google zveřejní Android O později v létě. Spolu s vydáním bude WebView mít vykreslovací modul spuštěný v izolovaném procesu odděleném od hostitelské aplikace, využití izolace mezi procesy poskytovanými Androidem, která byla dostupná pro ostatní aplikací.
WebView bude nyní poskytovat dvě úrovně izolace.
- Vykreslovací jádro bylo rozděleno do samostatného procesu. To izoluje hostitelskou aplikaci od chyb nebo pádů v procesu vykreslování a znesnadňuje škodlivému webu, který může zneužít vykreslovací modul, aby následně zneužil hostitelskou aplikaci.
- Aby jej bylo možné dále obsahovat, proces rendereru je spuštěn v izolované procesní karanténě, která jej omezuje na omezenou sadu prostředků. Vykreslovací modul například nemůže samostatně zapisovat na disk nebo komunikovat se sítí. Je také vázán na stejný filtr seccomp, jaký používá Chrome na Androidu. Filtr seccomp snižuje počet systémových volání, ke kterým má proces rendereru přístup, a také omezuje povolené argumenty na systémová volání.
A konečně, nejnovější verze WebView umožňuje aplikacím třetích stran používat funkce Bezpečné prohlížení. Podle příspěvku na blogu se informace nebo upozornění varující před možnými škodlivými weby zobrazují více než 250 milionůkrát za měsíc. Pomocí jednoduché značky manifestu můžete ve své aplikaci povolit Bezpečné prohlížení. Na blogu Android Developers Blog se můžete dozvědět, který kód je potřeba přidat.
Nejnovější verze WebView by měla být brzy dostupná v obchodě Google Play.
Zdroj: Android Developers Blog