Google heeft een kort overzicht vrijgegeven van de wijzigingen in de nieuwste versie van WebView. Android WebView is een systeemcomponent voor Android waarmee Android-apps inhoud van internet rechtstreeks in een applicatie kunnen weergeven.
Beginnend met Android Lollipop besloot Google WebView te distribueren als een onafhankelijke APK die elke zes weken wordt bijgewerkt vanuit de Play Store. Het doel is om kritieke oplossingen snel aan de gebruikers te leveren, aangezien de service een aantal ernstige beveiligingsproblemen had gekend. De nieuwste versie van de app brengt ook een aantal belangrijke beveiligingsverbeteringen met zich mee.
Google zal later deze zomer Android O uitbrengen. Naast de release zal WebView de renderer in een geïsoleerd proces laten draaien, los van de host-app. profiteren van de isolatie tussen processen die door Android wordt geboden en die voor anderen beschikbaar is toepassingen.
WebView biedt nu twee isolatieniveaus.
- De rendering-engine is opgesplitst in een afzonderlijk proces. Dit beschermt de host-app tegen bugs of crashes in het rendererproces en maakt het moeilijker voor een kwaadwillende website die de renderer kan misbruiken om vervolgens de host-app te misbruiken.
- Om het verder te beperken, wordt het rendererproces uitgevoerd binnen een geïsoleerde processandbox die het beperkt tot een beperkte set bronnen. De rendering-engine kan bijvoorbeeld niet zelfstandig naar schijf schrijven of met het netwerk praten. Het is ook gebonden aan hetzelfde seccomp-filter als gebruikt door Chrome op Android. Het seccomp-filter vermindert het aantal systeemaanroepen waartoe het rendererproces toegang heeft en beperkt ook de toegestane argumenten tot de systeemaanroepen.
Ten slotte maakt de nieuwste versie van WebView het mogelijk dat applicaties van derden de Safe Browsing-functies gebruiken. Volgens het blogbericht wordt informatie of waarschuwingen over mogelijk kwaadaardige websites meer dan 250 miljoen keer per maand weergegeven. Met een eenvoudige manifesttag kunt u Safe Browsing in uw app inschakelen. Op de Android Developers Blog kunt u zien welke code u moet toevoegen.
De nieuwste versie van WebView zou binnenkort beschikbaar moeten zijn in de Google Play Store.
Bron: Android-ontwikkelaarsblog