谷歌停止修补旧版Android漏洞 60%用户将面临威胁
据国外媒体的报道,一位安全专家日前在自己的博客中
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
示,谷歌已经停止为Android 4.4(又名“KitKat”)以前版本的Android系统修补核心组件漏洞,该专家呼吁谷歌重新考虑这一政策,因为此举有可能会导致60%的Android用户面临潜在威胁。
安全厂商Rapid7的
工程
路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理
经理托德?比尔兹利(Tod Beardsley)在本周一表示,谷歌安全团队宣布将停止修复Android 4.3“果冻豆(Jelly Bean)”及更早版本系统中所存在的WebView漏洞。
据了解,WebView是Android操作系统中的一个核心组件,用于支持“果冻豆”中的Android浏览器,尽管谷歌已经在KitKat中用Chrome取代了该浏览器,但其在KitKat及更早版本的Android中还可以被显示网页的应用调用。
“所有应用都会用WebView来渲染网页或基于网页的内容,例如应用内置的广告,”比尔兹利在博文中说道,“WebView是Android与互联网沟通的渠道之一,也是Android遭受攻击的路径之一。如果我是一名攻击者,那么我就会在网站上找到利用WebView的方法,然后引诱人们点击它。”
比尔兹利表示,去年10月中旬,他曾向谷歌的安全响应团队提交了一个与WebView有关的漏洞,随后得到的回复是“我们将不再修补WebView漏洞”,而在彼时两周前,谷歌还曾迅速修补过类似的漏洞。“如果受到影响的WebView版本是4.4之前,我们将不会为其开发修复补丁,但是我们欢迎第三方开发者提供对应的补丁,”谷歌安全响应团队在回复比尔兹利的邮件中说道,“除了通知OEM厂商之外,我们将不会就4.4版本之前的系统漏洞做任何修补。”
比尔兹利对谷歌的这一“目光短浅”的做法“感到震惊”,不过谷歌官方目前并未对相应的政策进行确认,也并未对比尔兹利的博文发表评论。
比尔兹利指出,Android拥有巨大的装机量,而受此影响的用户在Android总装机量中的占比超过60%。“我知道对所有的Android系统提供安全支持是一项艰巨的任务,”比尔兹利说道,“但是考虑到‘果冻豆’的巨大份额,谷歌目前的做法显得有些草率。”他还批评谷歌没有明确表示未来将会支持或不支持“果冻豆”的哪些组件,从而让开发者和用户都有所准备。
苹果此前也曾遭遇过类似的指控,当时是由于其并没有明确透露各个版本的OS X和iOS系统将获得多长时间的技术支持。不过与谷歌不同的是,尽管苹果并未明确iOS的支持时限,也很少为旧版iOS修补漏洞,而是告知用户尽快升级,但苹果通常都会同时支持数代采用最新版iOS系统的设备,同时会将升级包推送给用户,而谷歌显然没有做到这一点,导致目前大量的Android用户依然在使用旧版的Android系统。
比尔兹利还指出,谷歌并没有对“果冻豆”的所有组件采取相同的政策。比如当Android安全相应团队收到“果冻豆”音乐播放器的漏洞报告时,他们就会对其进行修补,“这种针对不同组件的态度差异让人感到困惑不已,”他说道。这种做法无疑会增加更多的不确定性,部分Android厂商可能会主动修复WebView漏洞,但其他厂商则不会。
谷歌表示,虽然其不会亲自修补此类漏洞,但却可以接受第三方的补丁,包括设备厂商、运营商以及安全公司。但比尔兹利表示,目前他还不清楚是否有厂商修补了他发现的WebView漏洞。
比尔兹利在博文中呼吁谷歌重新考虑这一政策。“谷歌的工程团队在许多技术领域的实
力都非常强大,包括Android的系统开发,所以最好还是由他们亲自出面修补这些漏洞最为靠谱,”比尔兹利在博文中写道,“所以我希望谷歌能够重新考虑这一政策。”
译者:璞玉
百度新闻与网易科技合作稿件,转载请注明出处。
企业贸易网
浙公网安备 33021202002483