Google hat einen kurzen Überblick über die Änderungen in der neuesten Version von WebView veröffentlicht. Android WebView ist eine Systemkomponente für Android, die es Android-Apps ermöglicht, Inhalte aus dem Web direkt in einer Anwendung anzuzeigen.
Beginnend mit Android Lollipop beschloss Google, WebView als unabhängige APK zu vertreiben, die alle sechs Wochen im Play Store aktualisiert wird. Das Ziel besteht darin, den Benutzern schnell kritische Korrekturen bereitzustellen, da der Dienst einige schwerwiegende Sicherheitsprobleme hatte. Die neueste Version der App bringt auch einige wichtige Sicherheitsverbesserungen mit sich.
Google wird Android O später in diesem Sommer veröffentlichen. Neben der Veröffentlichung wird WebView den Renderer in einem isolierten Prozess getrennt von der Host-App ausführen lassen. Ausnutzen der von Android bereitgestellten Isolation zwischen Prozessen, die für andere verfügbar ist Anwendungen.
WebView bietet jetzt zwei Isolationsebenen.
- Die Rendering-Engine wurde in einen separaten Prozess aufgeteilt. Dies schützt die Host-App vor Fehlern oder Abstürzen im Renderer-Prozess und erschwert es einer böswilligen Website, die den Renderer ausnutzen kann, anschließend die Host-App auszunutzen.
- Um es weiter einzudämmen, wird der Renderer-Prozess in einer isolierten Prozess-Sandbox ausgeführt, die ihn auf eine begrenzte Menge an Ressourcen beschränkt. Beispielsweise kann die Rendering-Engine nicht selbstständig auf die Festplatte schreiben oder mit dem Netzwerk kommunizieren. Es ist außerdem an denselben Seccomp-Filter gebunden, der von Chrome unter Android verwendet wird. Der Seccomp-Filter reduziert die Anzahl der Systemaufrufe, auf die der Renderer-Prozess zugreifen kann, und beschränkt außerdem die zulässigen Argumente auf die Systemaufrufe.
Schließlich ermöglicht die neueste Version von WebView Drittanbieteranwendungen, die Safe Browsing-Funktionen zu nutzen. Dem Blogeintrag zufolge werden monatlich über 250 Millionen Mal Informationen oder Warnhinweise vor möglicherweise schädlichen Websites angezeigt. Mit einem einfachen Manifest-Tag können Sie Safe Browsing in Ihrer App aktivieren. Welchen Code Sie hinzufügen müssen, erfahren Sie im Android Developers Blog.
Die neueste Version von WebView sollte bald im Google Play Store verfügbar sein.
Quelle: Android Developers Blog