Что такое Android System WebView и для чего он нужен?

Если у вас телефон Android, вы можете быть удивлены всплывающим сообщением о приложении Android System Webview. Это инструмент, который постоянно обновляется, но мы не можем открывать, удалять или взаимодействовать с ним. Хотя кажется, что мы не используем его и он бесполезен, он является одним из наиболее важных компонентов при разработке приложений для Android, поэтому рекомендуется обновлять его.
Для чего используется Android System WebView?
Как подробно описано на самой странице разработчиков Android: «Android WebView — это компонент системы с технологией Chrome, который позволяет приложениям Android отображать веб-контент. Этот компонент предварительно установлен на вашем устройстве и должен постоянно обновляться, чтобы вы могли получать последние обновления безопасности и другие исправления ошибок».
То есть Android System Webview — это технология, созданная Google, благодаря которой мы можем выходить в Интернет с нашего мобильного Android, не используя браузер. Например, если кто-то поделится ссылкой через WhatsApp, открыв ее мы получим доступ к контенту не через браузер, а через то же приложение WhatsApp. Это возможно благодаря инструменту Android System WebView, поэтому настоятельно рекомендуется всегда устанавливать его на наш мобильный телефон. Конечно, это более ограниченный инструмент, чем если бы мы использовали браузер, такой как Google Chrome, но его использование ориентировано на конкретный случай, чтобы каждый раз не открывать браузер.

Почему важно обновлять Android System Webview?
Android System WebView — это инструмент, который обновляется довольно часто, кроме того, он занимает много места на нашем устройстве. Несмотря на некоторые неудобства, рекомендуется всегда обновлять этот инструмент. Данная технология гарантирует, что у нас будет доступ к веб-контенту из любого приложения, которое мы используем.
Могу ли я удалить Android System WebView?
Если у вас мобильный телефон с операционной системой Android 7 Nougat или выше, и вы используете Google Chrome, вы можете без проблем удалить Webview из системы Android. Но, если вы не используете браузер Chrome или у вас версия ниже Android 7, тогда не рекомендуется его отключать, поскольку веб-просмотр системы Android обеспечивает дополнительную безопасность на вашем мобильном телефоне и системе необходимо обновить приложение, чтобы избежать уязвимостей.
Если по какой-то причине вы допустили ошибку, удалив Android System Webview с вашего телефона, тогда лучше всего переустановить его. Для этого достаточно просто найти его в магазине приложений Google Play Store и переустановить.
Ранее на нашем сайте появилась информация о списке самых легких браузеров для смартфонов Android.
Зачем Android нужен WebView и как он работает
Несмотря на то что почти все смартфоны на Android получают новые версии ОС только два года, Google худо-бедно старается их поддерживать в актуальном состоянии ещё какое-то время путём обновления своих сервисов. Для этого поисковый гигант просто рассылает апдейты через Google Play, чтобы те пользователи, которым уже не светят традиционные обновления, могли получить запланированные нововведения и экстренные баг-фиксы. Однако, многие, как показала практика, этого не знают, и, видя, как системные компоненты с непонятными им названиями, спрашивают, например, что такое WebView и зачем это нужно. Восполняю пробел.

Вы много раз видели Android System WebView, но наверняка не знаете, что это и зачем нужно
Вы могли видеть WebView, полное название которого Android System WebView, в двух местах: в каталоге Google Play и в разделе «Приложения». Причём мелькает он заметно чаще других, периодически получая обновления и фигурируя в описаниях обновлений стороннего софта, разработчики которого почему-то считают необходимым упомянуть его. Прямо-таки в каждой бочке затычка. Однако, если разобраться чуть глубже, всё становится на свои места.
Что такое Android WebView

WebView — это встроенный браузер для приложений
WebView – это системный компонент, или, проще говоря, приложение, которое отвечает за открытие веб-страниц в рамках других приложений. Думаю, вам не раз приходилось открывать ту или иную ссылку в мессенджере, социальной сети или клиенте электронной почте. Так вот, если вы заметили, почти всегда нажатие на ссылку приводит к тому, что она открывается в интерфейсе самого приложения, вместо того чтобы перенести вас в браузер. Таким образом разработчику проще отслеживать ваши действия, поскольку получить их из стороннего браузера у него не выйдет.
Google рассказала, что изменится в Google Chrome после обновления
Но поскольку Android System WebView является, по сути, самостоятельным компонентом, периодически пользователи сталкиваются с проблемами в его работоспособности. Одни уверяют, что WebView не работает, другие сообщают, что WebView не обновляется, а третьи – что WebView недоступен. Казалось бы, причины у этих проблем могут быть самые разные и, чтобы что-то советовать пользователям, которые с ними столкнулись, нужно хотя бы разузнать дополнительные подробности или по крайней мере худо-бедно разбираться в разработке приложений и особенностях функционирования системных компонентов. Но нет.
WebView и Google Chrome
В конце прошлого года Google интегрировала в Android System WebView компонент Chrome WebView. Проще говоря, компания просто сделала так, что теперь все ссылки в сторонних приложениях будут открываться в виджете Chrome, который будет встроен во все программы по умолчанию. Поисковый гигант объяснил это тем, что это позволяет снизить нагрузку на ресурсы устройства и облегчит эффективность обновления. Но, как показывает практика, это только лишний раз запутало пользователей, которые вообще перестали понимать, что им делать в случае возникновения проблем.
Samsung хочет, чтобы Chrome для Android получил поддержку расширений
А, между тем, всё очень просто. Несмотря на то что Android System WebView по-прежнему обновляется самостоятельно, он глубоко связан с Google Chrome. Поэтому, когда вы сталкиваетесь с перебоями в работе системного компонента, вам нужно не искать обновления для него, а установить апдейт браузера.
Как обновить Android WebView
- Для этого перейдите в Google Play и свайпните от левого края экрана;
- Перейдите во вкладку «Мои приложения и игры;

Зачастую обновлять следует не Android System WebView, а Google Chrome
- В открывшемся окне нажмите «Обновить всё» или отыщите Google Chrome и обновите его;
- Для надёжности рекомендуется обновить и Android System WebView, если для него тоже доступно обновление.
Chrome загружает процессор и жрёт зарядку? Google всё исправит
На первый взгляд, может показаться, что всё это глупости, и на самом деле обновления ничего не решают, но это не так. В прошлом Google неоднократно выпускала такие патчи, которые возвращали работоспособность системных компонентов, от которых во многом зависела и работа сторонних приложений. Последний такой случай произошёл в декабре прошлого года, когда из-за сбоя в Chrome пользователи лишились возможности открывать ссылки в приложениях, которые к Google не имеют никакого отношения. Поэтому не пренебрегайте обновлениями. Они выходят для вас.

Теги
- Новичкам в Android
- Обновления Android
- Операционная система Android
Наши соцсети
Новости, статьи и анонсы публикаций
Co je to Android System WebView a proč je tak důležitý?
V uplynulých dnech to vypadalo, že svět mobilních telefonů, tedy těch chytrých, které běží na Androidu, postihla apokalypsa. Z ničeho nic mnoha nejrůznějším uživatelům napříč značkami přestaly fungovat nejrůznější aplikace, které nemají na první pohled nic společného. Z chytrých telefonů se tak rázem staly hloupé a nejeden z uživatelů podstoupil tak drastickou proceduru jako tovární restart zařízení. Naštěstí Google, který celý problém způsobil, promptně zareagoval a vydal novou aktualizaci.
Takže k čemu je to dobré?
Mnoho aplikací, které dnes používáme, potřebují ke svému běhu být on-line, protože přistupují k informacím na webu. Je to prakticky celé portfolio Google služeb, všechny sociální sítě a mnohé další. Výhodou je, že po příchodu domů můžeme v práci nebo v zábavě snadno pokračovat tam, kde jsme v telefonu přestali a naopak. V případě nouze se lze k těmto službám přihlásit v internetovém prohlížeči, ale to není moc komfortní a navíc to neumožňuje pokročilejší funkce, jako jsou notifikace nebo lepší správa a oprávnění.
Aby tvůrci každé aplikace nemuseli od základů programovat svůj vlastní prohlížeč, případně aby v každé druhé aplikaci nebylo tolik zbytečného kódu, nabízí Google vývojářům možnost použití systémové komponenty, kterou si lze představit jako záložku v Chromu bez zbytečných příkras. Pro vývojáře její využití znamená jen pár řádek kódu navíc a nemusí už tak řešit otázky týkající se nejnovějšího vývoje webových browserů a jejich bezpečnosti. To za ně udělá Google, který se rovněž postará o automatické aktualizace.
A právě tady leží vedle největší přednosti i slabina celého přístupu. Pokud máte v Obchodě Google Play zapnuté automatické aktualizace, což je také výchozí nastavení, z ničeho nic může přestat fungovat půlka aplikací, aniž byste měli představu, proč se tak stalo.
Mohla to být apokalypsa.
Naštěstí jsou tu dva faktory, které nás zachránily před světovou mobikalypsou. Google svoje updaty nenasazuje najednou, ale ve vlnách. Vedle snahy o rozložení zátěže tak dělá z určité skupiny uživatelů nedobrovolné betatestery. Je to sice otravné, když čekáte na aktualizaci s novými funkcemi nebo opravami méně závažných chyb, ale má to své důvody.
Přečtěte si také
Co když bude Google zlý? – Glosa
A pak je tu také rychlost, s jakou Google chybu identifikoval a opravil. Bylo to v řádu hodin, což je ve srovnání s jinými společnostmi, které podobné problémy řeší až další druhé úterý v měsíci, celkem rychlost.
Nakonec se tak jednalo spíše o drobnou nesnáz a memento toho, jak moc je dnešní digitální svět provázaný a jakou moc v něm Google má, i když jeho služby zrovna vědomě nepoužíváte.
- Máte více telefonů? Obchod Google Play vám trochu zjednoduší život
- Google ještě více utáhne šrouby starším aplikacím
- Rozlučte se s nahráváním hovorů na Androidu, Google ho chce zatrhnout nadobro
- Obchod Google Play se chystá na velký úklid, zmizí starší aplikace
- Android chce aplikace namísto odinstalování archivovat
- Google platí výrobcům telefonů za to, že do nich nepustí jiné obchody s aplikacemi
WebView: что это такое и как его используют злоумышленники

Ссылки в приложениях не всегда открываются в браузере – пользователь может оставаться в интерфейсе мобильного приложения. Такие встроенные веб-страницы, например, есть в соцсетях и мессенджерах. Создавать их можно с помощью компонента WebView, который в последнее время стал очень популярным в мобильной разработке. Высокий интерес к нему возник на фоне множества плюсов. Однако эксперты предупреждают: использовать технологию нужно с умом. В ней есть уязвимости, которые могут заинтересовать кибермошенников.
Что такое WebView
Android System WebView – это системный компонент, который отвечает за открытие веб-страниц внутри других приложений. Он позволяет отслеживать действия пользователя – есть доступ к подробной статистике. С переходом по ссылке в сторонний браузер сделать это нельзя. Есть очевидные плюсы и на стороне пользователя – с WebView выше скорость загрузки контента и меньше затрачиваются ресурсы устройства, чем при переходе по ссылке в сторонний браузер.
Почему он популярен
В последнее время WebView особенно интересен маркетологам. Они используют его как недорогой полигон для проверки своих гипотез. В WebView можно по-разному выстроить коммуникацию с клиентом – например, добавить онлайн-чат и push-уведомления, а потом отследить реакцию. А еще так легче протестировать маркетинговые сценарии и сегментировать целевую аудиторию. Другой кейс – WebView используют как отдельный этап разработки или в качестве MVP (Minimal Viable Product, минимально жизнеспособный продукт). Компонент помогает быстро оценить, как будет реализована фича сразу на двух платформах – в приложении и в вебе. То же самое касается появления багов и уязвимостей. Их тоже проще отследить в момент подключения компонента. И наконец, третий популярный вариант применения WebView – он может полностью заменить сайт компании. Им недавно пользовались финансовые и другие организации, которым пришлось столкнуться с санкциями в сети.
Ложка дегтя, или Что не так с WebView
Несмотря на популярность и плюсы, встраиваемый браузер часто таит в себе киберугрозы. Причем, как правило, в этом не виноваты разработчики Android-приложения.
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»
Настройки по умолчанию в современной версии Android обеспечивают базовый уровень безопасности WebView. Однако разработчики приложений практически всегда вносят в этот компонент свои настройки и изменения. Вот почему при его подключении нельзя забывать о рисках информационной безопасности.
Обычно уязвимости в WebView обнаруживаются до того, как ими успевают воспользоваться злоумышленники. Так произошло с Galaxy App Store, о чем в начале 2023 года сообщили в Samsung. Также без жертв закончилась история с багом в вебвью-компоненте Tik-Tok, который в 2022-ом обнаружила Microsoft. По мнению экспертов, основная проблема с WebView та же, что и у любого стороннего браузера. Она заключается в том, что к нему может быть получен несанкционированный доступ и перехвачена информация, которая отправляется в back-end приложения. В частности, всегда есть риски XSS-атаки, при которой злоумышленник внедряет вредоносный код на веб-страницу и похищает данные пользователя.
Директор IT-компании GUSCOM
WebView – это удобно и практично, но компонент также может создавать потенциальные уязвимости. Например, он может загружать вредоносный контент для пользователя или устройства. Причинами могут быть применение устаревших библиотек и API, а также некорректная настройка компонента.
При этом как компонент, который отвечает за открытие ссылок, WebView может отображать страницы как с удаленного сайта, так и те, которые хранятся локально. Чаще всего – в ресурсах приложения.
Так разработчики реализуют механизм кэширования, чтобы обеспечить поддержку оффлайн-режима. Хуже – если из локальной памяти. Еще хуже – если из разделяемой. Сюда же добавим различные способы насильственного перенаправления пути отображения через классические атаки на пути, так и частные случаи, например, уязвимости android.net.URI, shouldOverrideUrlLoading, проблемы обработки DeepLink и прочее.
При этом WebView, если рассматривать его как класс-расширение класса View в Android, может предоставлять дополнительные конфигурации, которые дают возможность для проведения атак из приложения. Например, аннотация @JavascriptInterface даст возможность создать интерфейс для JavaScript, работающего в WebView для всех страниц, которые будут загружены. В случае, если где-то используется небезопасный протокол, это может быть использовано для внедрения JS-кода в приложение.
Эксперт напоминает, что WebView – это еще и фрагмент экосистемы Android, поэтому нельзя исключать проблемы с хранением данных. Они могут не быть привязаны к бизнес-сценарию приложения, но использоваться на некоторых экранах, сохраняться локально и храниться очень долго.
Техника безопасности с WebView
- использовать HTTPS – взаимодействие с серверами, где размещается back-end, должно быть зашифрованным,
- грамотно управлять SSL – нужно предусмотреть ситуацию, когда безопасное соединение не может быть установлено,
- включать javascript только для безопасного контента, которым можно управлять самостоятельно,
- отключать доступ WebView к файловой системе устройства,
- создавать белые списки адресов, к которым может обращаться встроенный браузер,
- всегда проверять источник и содержимое веб-страниц перед их интеграцией с WebView,
- контролировать и фильтровать все пользовательские данные, прежде чем отображать их в встроенном браузере, и использовать Content Security Policy (CSP) для ограничения источников, с которых разрешено загружать контент,
- регулярно обновлять используемые библиотеки и API, чтобы избежать уязвимости, связанные с устаревшим кодом,
- ограничивать доступ к межсайтовым ресурсам – настраивать WebView так, чтобы он не предоставлял доступ к ресурсам других сайтов, тем самым предотвращая утечку данных,
- регулярно тестировать безопасность приложения на предмет уязвимостей, используя специализированные инструменты и сервисы.
При этом эксперты сходятся во мнении, что начинать выстраивать защиту нужно с грамотного аудита приложения. Только он даст понять, какие меры понадобятся в каждом конкретном случае и нужен ли вообще WebView.
Итоги
Что такое WebView? Это прежде всего удобный инструмент разработчика. В лучшем случае он может стать преимуществом, которое оценят владелец и пользователи приложения. В худшем – злоумышленники.
Тем не менее, WebView все чаще становится обязательным этапом в создании мобильного приложения. Он помогает тестировать гипотезы, заменять страницы сайта и даже решать проблемы компаний, связанные с санкциями.
Все это – важные причины помнить об уязвимостях при подключении компонента. К счастью, их немного.