В наши дни публичные сети Wi-Fi встречаются повсюду, а благодаря распространению таких технологий, как HSTS и HTTPS, их использование обычно считается безопасным даже без применения специальных средств защиты. К сожалению, некоторые публичные сети Wi-Fi довольно неудобны в использовании, поскольку они могут попросить вас войти в систему, используя учетную запись в социальных сетях, или поделиться некоторыми своими личными данными. Это не было бы большой проблемой, если бы Captive Portal — веб-страница, появляющаяся при подключении к публичному Wi-Fi, — имела доступ к данным автозаполнения, но это не так. Однако в скором времени ситуация может измениться.
Причина, по которой порталы Captive Portals не имеют доступа к данным автозаполнения, заключается в том, что они открыты в приложении Android System WebView. Android System WebView, или WebView, — это системный компонент, который позволяет приложениям отображать веб-контент, не выходя из приложения. Хотя он основан на том же открытом коде, что и Google Chrome и многие другие браузеры для Android, он не делится с ними данными автозаполнения или сеанса. Как следствие, когда Captive Portal просит вас войти в аккаунт социальной сети или ввести личные данные, вам придется заполнять все эти данные заново.
Не забывайте о нашем Дзен, где очень много всего интересного и познавательного!
Если бы Captive Portals открывались в пользовательских вкладках Android, то они имели бы доступ к данным автозаполнения или сеанса, поскольку пользовательские вкладки — это просто экземпляры веб-браузера по умолчанию. Пользовательские вкладки для Android существуют уже давно, хотя вы можете знать их под прежним названием Chrome Custom Tabs еще с тех времен, когда эта функция поддерживалась только в Google Chrome.
Хотя пользовательские вкладки не полностью отображаются в приложении, как WebView, они имеют доступ к вашей сессии просмотра, сохраненным паролям, способам оплаты и адресам, не говоря уже о других функциях, которые не поддерживаются сравнительно базовым приложением Android System WebView. Это делает пользовательские вкладки идеальными для порталов Captive Portals, поскольку они помогают быстрее вводить информацию и, соответственно, быстрее подключаться к сети.
К счастью, Google готовится к тому, чтобы Android открывал эти страницы Captive Portal в пользовательской вкладке Android вместо WebView. Несколько месяцев назад был объединен набор исправлений с тегом captive_portal_cct, добавляющий поддержку пользовательских вкладок в Captive Portal Login — системное приложение, содержащее логику для работы со страницами Captive Portal.
Если ищите что-то интересное на AliExpress, не проходите мимо Telegram-канала "Сундук Али-Бабы"!
Патчи добавляют предварительную поддержку этой функции, представляя код для открытия порталов Captive Portal в пользовательских вкладках Android, а также поставляя библиотеку androidx.browser, необходимую для поддержки пользовательских вкладок. Однако в настоящее время реализация отключена по умолчанию и защищена флагом возможности, поэтому пока не включена.
Функция Captive Portal Login является частью модуля Project Mainline, который доступен на всех устройствах под управлением Android 10 или более поздней версии, что означает, что Google может выпускать обновления для нее через Play System Updates. Действительно, последний публичный выпуск приложения Captive Portal Login уже содержит код, который Google добавила в AOSP в августе, но сейчас эта функция все еще отключена по умолчанию.
Присоединяйтесь к нам в Telegram!
Пока сложно сказать, когда Google планирует внедрить эту функцию, но это может занять некоторое время, поскольку дополнительные исправления, связанные с Custom Tab, которые были добавлены в AOSP в сентябре, еще не добрались до приложения Captive Portal Login на устройствах.
Хотя можно сказать, что открытие порталов захвата в пользовательских вкладках Android повысит удобство доступа к общественному Wi-Fi, сложно понять, что это приведет к каким-либо значимым улучшениям безопасности. Например, пока не ясно, как это изменение повлияет на эффективность атак «злых близнецов», когда злоумышленники создают поддельную точку доступа к публичному Wi-Fi с вредоносным порталом Captive Portal, предназначенным для кражи ваших учетных данных.
Лучшие бесплатные игры для Android, c поддержкой внешнего контроллера.
Конечно, если поддельный Captive Portal попросит вас ввести логин в социальной сети, и вы поймете, что что-то не так, когда ваш веб-браузер не заполнит данные в автоматическом режиме или не выполнит автоматический вход с помощью сохраненного cookie, вы сможете избежать подобной атаки. Однако можно не сомневаться, что немногие пользователи распознают этот сценарий, а значит, разница между двумя вариантами реализации с точки зрения общей безопасности будет не так уж и велика.
Даже если это изменение не улучшит безопасность, эксперты не видят в нем никаких серьезных недостатков, кроме небольшого увеличения размера приложения Captive Portal Login. Хочется верить, что оно скоро появится, и вход в некоторые публичные сети Wi-Fi станет менее болезненным.