Mange mobilapplikasjoner er i praksis bare et skall som viser fram websider eller webapplikasjoner. I tillegg er det mange andre apper som kan vise innholdet på websider, uten å måtte åpne nettleseren. Facebook- og Twitter-appene er blant disse.
De fleste av disse appene, uavhengig av om de er for Android eller iOS, benytter da en egen nettleserkomponent i operativsystemet. I Android kalles denne for WebView, i iOS UIWebView.
Selv om (UI)WebView-komponenten har mye av den samme funksjonaliteten som henholdsvis Chrome og Safari, er det også vesentlige forskjeller, også om en ser bort fra brukergrensesnittet.
Safe Browsing
Blant de betydelige forskjellene mellom WebView og Chrome for Android, er støtten for Safe Browsing, altså tjenesten som Google tilbyr for å beskytte nettleserbrukere mot phishing- og skadevareangrep.
Riktignok har denne tjenesten vært tilgjengelig i WebView en stund. Men det har vært opptil den enkelte app-utvikler å aktivere den. Dette skal det nå bli slutt på.
Med WebView 66, som skal komme nå i april, vil Safe Browsing være alltid være aktivert i alle apper som bygger på WebView.
Dette innebærer blant annet at forsøk på å lede brukerne til falske innloggingssider, i større grad vil bli stoppet.
Leste du denne? Svært mange mobilapper er ikke klare for GDPR. For Android-utviklere er fristen bare ti dager unna
Mer kryptering
Google har tidligere denne måneden kunngjort flere andre sikkerhetsforbedringer, men disse kommer først i P-utgaven (9.0) av Android.
Den ene av disse nyhetene er at alle apper som skal kjøres i Android P, må kommunisere over internett ved hjelp av en kryptert TLS-forbindelse (Transport Layer Security), med mindre app-utvikleren spesifikt oppgir at også ukryptert kommunikasjon er OK.
I praksis innebærer dette at app-utviklerne ikke behøver å gjøre noe, dersom de allerede bare benytter krypterte forbindelser til å overføre data. Men dersom appen kommuniserer med infrastruktur som av en eller annen grunn ikke kan kommunisere kryptert, må appen endres for å kunne kjøres i Android 9.0.
DNS over TLS
Den andre sikkerhetsrelaterte Android P-nyheten er støtte for DNS-kall over TLS, det vil si at kommunikasjonen mellom Android-enheten og DNS-serveren er kryptert, dersom serveren støtter dette.
Google har eksperimentert med dette i alle fall siden i fjor høst, men nå er det klart at DNS over TLS-støtte kommer i Android P, som trolig blir lansert på sensommeren i år.
Les mer: Google prøver ut kryptert DNS