1
本文作者: 不知 | 2015-01-13 10:39 |
没有安装最新版Android系统的手机用户,或许会在 2015 年收到恶意黑客们的大礼。这是因为旧版Android系统中的核心组成部分之一,不再获得来自Google的安全更新。
在没有公开警告受影响的 9.39 亿用户的情况下,Google决定停止向Android 4.3 及以下版本发布 WebView 工具的安全更新。这意味着有近三分之二的Android用户无法获得Google的安全支持。
WebView允许应用在不打开另一个应用的情况下显示网页。许多应用和广告网络使用这一工具,甚至连Google Android团队也在其开发者文档网页渲染部分推荐使用该工具。Rapid7 工程经理 Tod Beardsley 表示,WebView也是针对Android的远程代码执行漏洞攻击所优先考虑的地方,它对Android来说就像 Windows的 IE浏览器,都是攻击者们入侵时最喜欢针对的目标。
攻击者喜欢WebView,是因为它能与Android其他组成部分互动。安全咨询师 Justin Clarke说道:“支持网络技术以及 PhoneGap 等框架可以调用原生手机功能,是攻击者针对WebView 工具入侵手机的主要原因之一。”
Android系统和 WebView 工具中不断出现安全漏洞,使得缺乏更新的危险程度更高。Rapid7 在其入侵测试工具包 Metasploit 中加入了无数漏洞利用方式。最新版 Metasploit 中包含了 11 种不同的 WebView 利用方式,白帽子和黑帽子们都可以轻易地利用这一工具来入侵Android系统。
事实上,Google从去年末开始就打算停止安全更新的支持。Android安全团队成员在回复一次漏洞警告时表示:“如果 WebView受影响的版本低于4.4,我们通常不会自行开发补丁,不过我们欢迎其他人提交补丁以供参考。任何涉及 4.4 版本之前的安全漏洞报告如果没有附带补丁,除了通知 OEM 厂商外,我们也无能为力。”
也就是说,如果其他人不仅发现了问题还提供解决方案的话,Google可能会向 4.4 版本之前的Android系统推送 WebView 补丁。Google要求第三方研究人员在递交漏洞报告时,提交补丁,这种做法前所未有。
Android是开源项目,从技术上讲,任何人都能制作补丁,但这些补丁通过三星或 LG 等设备制造商分发的机会“近乎于零”。
此举或与Google决定在Android 5.0 中“取消绑定”WebView有关。“取消绑定”后,用户可以单独通过Google Play自动更新WebView。但更早之前版本的Android系统并不能这么做,要知道,只有不到 0.1% 的Android用户升级到了 5.0。
也许不到 0.1% 的Android 5.0用户会享受通过 Play商店升级WebView 所带来的进步,但另外99.9% 的用户却不能获得浏览器补丁,如果有这个补丁的话。
尽管Google可以简单地建议用户升级到 4.4 版本及以上,但不能否认的是,大部分Android用户由于缺少 WebView 支持将面临更高的安全风险。根据Google的数据,目前Android手机数已达 15.624 亿部,其中有 60.1% 的手机运行 4.4 版本以下的Android系统,也就是说这一决定会影响 9.39 亿用户。
via forbes
雷峰网原创文章,未经授权禁止转载。详情见转载须知。