Разработчики фреймворка Metasploit обратили внимание на прекращение выпуска исправлений для компонента WebView, используемого в Android для обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать web-содержимое.

Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств, остальные 60.8% Android-систем остаются с неисправленными уязвимостями. Политика поддержки старых выпусков заключается в том, что Google не будет принимать меры, если сообщения об уязвимостях в неактуальных версиях не сопровождаются готовыми патчами. Если патчи представлены, то Google готов довести исправления до партнёров и OEM-производителей, иначе он может лишь уведомить их о наличии проблемы, но без разработки исправления своими силами. Таким образом, ответственность за использование устаревших версий Android в прошивках актуальных моделей устройств ложится на производителей, которые должны сами позаботиться о подготовке исправлений уязвимостей.

В выпуске Android 4.4 компонент WebView был заменён на более современный движок, основанный на кодовой базе Chromium и начиная с выпуска Android 5.0 способный обновляться через Google Play. Устаревший движок, применяемый в Android 4.3 и более ранних выпусках, уже давно не обновлялся, что привело к созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в состав Metasploit и доступны публично, что позволяет использовать их для организации атак.

Проблема усугубляется появлением потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих принудительный переброс на сторонние страницы без каких-либо действий со стороны пользователя. Проброс осуществляется через получение JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением (под видом обращения к счётчику pix.stcounter.com загружается строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и только от opennet.ru в Google было отправлено 5 различных запросов, но централизованной блокировки подобных HTML5-баннеров не последовало.

В настоящее время данные баннеры используются лишь в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать код для эксплуатации уязвимостей и внедрения вредоносного ПО. Более того, нет никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, вредоносный код может отдаваться только при обнаружении уязвимой версии по идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки для выполнения любого JavaScript кода на любом сайте, участвующем в сети AdSense.

Источник: http://www.opennet.ru/opennews/art.shtml?num=41447