据国外媒体的报道,一位安全专家日前在自己的博客中表示,谷歌已经停止为Android 4.4(又名“KitKat”)以前版本的Android系统修补核心组件漏洞,该专家呼吁谷歌重新考虑这一政策,因为此举有可能会导致60%的Android用户面临潜在威胁。安全厂商Rapid7的工程经理托德・比尔兹利(Tod Beardsley)在本周一表示,谷歌安全团队宣布将停止修复Android 4.3“果冻豆(Jelly Bean)”及更早版本系统中所存在的WebView漏洞
据国外媒体的报道,一位安全专家日前在自己的博客中表示,谷歌已经停止为Android 4.4(又名“KitKat”)以前版本的Android系统修补核心组件漏洞,该专家呼吁谷歌重新考虑这一政策,因为此举有可能会导致60%的Android用户面临潜在威胁。
安全厂商Rapid7的工程经理托德・比尔兹利(Tod Beardsley)在本周一表示,谷歌安全团队宣布将停止修复Android 4.3“果冻豆(Jelly Bean)”及更早版本系统中所存在的WebView漏洞。
据了解,WebView是Android操作系统中的一个核心组件,用于支持“果冻豆”中的Android浏览器,尽管谷歌已经在KitKat中用Chrome取代了该浏览器,但其在KitKat及更早版本的Android中还可以被显示网页的应用调用。
“所有应用都会用WebView来渲染网页或基于网页的内容,例如应用内置的广告,”比尔兹利在博文中说道,“WebView是Android与互联网沟通的渠道之一,也是Android遭受攻击的路径之一。如果我是一名攻击者,那么我就会在网站上找到利用WebView的方法,然后引诱人们点击它。”
比尔兹利表示,去年10月中旬,他曾向谷歌的安全响应团队提交了一个与WebView有关的漏洞,随后得到的回复是“我们将不再修补WebView漏洞”,而在彼时两周前,谷歌还曾迅速修补过类似的漏洞。“如果受到影响的WebView版本是4.4之前,我们将不会为其开发修复补丁,但是我们欢迎第三方开发者提供对应的补丁,”谷歌安全响应团队在回复比尔兹利的邮件中说道,“除了通知OEM厂商之外,我们将不会就4.4版本之前的系统漏洞做任何修补。”
比尔兹利对谷歌的这一“目光短浅”的做法“感到震惊”,不过谷歌官方目前并未对相应的政策进行确认,也并未对比尔兹利的博文发表评论。
比尔兹利指出,Android拥有巨大的装机量,而受此影响的用户在Android总装机量中的占比超过60%。“我知道对所有的Android系统提供安全支持是一项艰巨的任务,”比尔兹利说道,“但是考虑到‘果冻豆’的巨大份额,谷歌目前的做法显得有些草率。”他还批评谷歌没有明确表示未来将会支持或不支持“果冻豆”的哪些组件,从而让开发者和用户都有所准备。
苹果此前也曾遭遇过类似的指控,当时是由于其并没有明确透露各个版本的OS X和iOS系统将获得多长时间的技术支持。不过与谷歌不同的是,尽管苹果并未明确iOS的支持时限,也很少为旧版iOS修补漏洞,而是告知用户尽快升级,但苹果通常都会同时支持数代采用最新版iOS系统的设备,同时会将升级包推送给用户,而谷歌显然没有做到这一点,导致目前大量的Android用户依然在使用旧版的Android系统。
比尔兹利还指出,谷歌并没有对“果冻豆”的所有组件采取相同的政策。比如当Android安全相应团队收到“果冻豆”音乐播放器的漏洞报告时,他们就会对其进行修补,“这种针对不同组件的态度差异让人感到困惑不已,”他说道。这种做法无疑会增加更多的不确定性,部分Android厂商可能会主动修复WebView漏洞,但其他厂商则不会。
谷歌表示,虽然其不会亲自修补此类漏洞,但却可以接受第三方的补丁,包括设备厂商、运营商以及安全公司。但比尔兹利表示,目前他还不清楚是否有厂商修补了他发现的WebView漏洞。
比尔兹利在博文中呼吁谷歌重新考虑这一政策。“谷歌的工程团队在许多技术领域的实力都非常强大,包括Android的系统开发,所以最好还是由他们亲自出面修补这些漏洞最为靠谱,”比尔兹利在博文中写道,“所以我希望谷歌能够重新考虑这一政策。”
译者:璞玉
百度新闻与站长搜索合作稿件,转载请注明出处。
标签: 谷歌 停止 修补 旧版 Android 漏洞 用户 面临 威胁
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!