适用于Android的WebView中的Google Bolsters安全功能
Google在Android的WebView功能中添加了一些安全更新,用于在移动应用程序中显示Web内容。这些更新旨在更好地保护移动应用程序免受浏览器带来的威胁,并将在与移动操作系统的下一版本Android O集成的WebView中可用。
Web视图基本上为移动应用程序开发人员提供了一种构建可以显示网页和内容的应用程序的方法,而无需用户离开应用程序。Android的WebView是运行在许多Android移动应用程序中的Chrome的一种迷你版本。
开发人员使用该功能的原因有很多,例如通过社交媒体帐户启用应用程序登录,或者让用户直接在应用程序内部填写Web表单,或显示新闻阅读器或商品目录。
可以使用它构建混合移动应用程序
开发人员还可以使用WebView来构建结合了Web和本机功能的所谓混合移动应用程序。此类应用程序是使用本机代码和Web技术(例如HTML5和JavaScript)构建的,旨在为用户提供本机应用程序功能和Web功能的最佳功能。
自2014年推出Android Lollipop以来,Google一直将WebView作为单独的应用程序编程工具包提供。
即将随Android O一起提供的新版WebView具有两个旨在增强移动应用程序安全性的安全更新。
Android安全团队的两个成员Xiaowen Xin和Renu Chaudhary在博客中表示,从Android O开始,WebView将使浏览器呈现功能在独立的进程中运行,并且与主机应用程序分开运行。
Xin和Chaudhary说,其他应用程序已经利用Android隔离进程的能力已有一段时间了,而当Android O开始交付时,WebView也将如此。
恶意利用很难扎根
通过将渲染引擎分为一个单独的过程,WebView将宿主应用程序与渲染过程中的错误或崩溃隔离开来。两位谷歌安全研究人员说:“这使恶意网站更难利用其渲染然后再利用宿主应用程序。”
为了进一步减轻这种威胁,新的WebView将在沙箱中运行渲染器进程,该沙箱隔离并限制了进程可以进一步访问的资源。Xin和Chaudhary指出,例如,渲染引擎将无法写入磁盘或直接与网络通信。
Android O随附的WebView版本还将包含“安全浏览”功能,该功能是Chrome中的一种机制,可在用户到达潜在不安全的网站或未得到充分保护的网站时向用户发出警告。
现在,可通过WebView向Android应用程序用户提供与Chrome用户可用的警告相同的警告。