Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


谷歌停止修补旧版Android漏洞 60%用户面临威胁

2015-1-14 10:05    评论: 9 分享: 14    

一位安全专家表示,谷歌已经停止为Android 4.4“奇巧”以前版本的系统修补核心组件漏洞。他呼吁该公司重新考虑这一政策,因为此举会导致60%的Android用户面临潜在威胁。

本周一,安全厂商Rapid7工程经理托德·比尔兹利(Tod Beardsley)表示,谷歌安全团队宣布将不会修复Android 4.3“果冻豆”或更早版本系统中的WebView漏洞。

WebView是一个操作系统核心组件,用于支持“果冻豆”中的Android浏览器(谷歌在“奇巧”系统中用Chrome取代了这款浏览器),而在奇巧及更早版本的系统中还可以被显示网页的应用调用。

“所有应用都会用WebView来渲染网页或基于网页的内容,例如应用内置广告。”比尔兹利说,“WebView是Android的一个攻击途径,这是Android与互联网沟通的渠道。如果我是攻击者,我会在网站上找到利用WebView的方法,然后引诱人们点击。”

比尔兹利表示,他在去年10月中旬向谷歌提交了一个与WebView有关的漏洞后,收到的回复是:“我们不再修补WebView漏洞。”而短短两周前,谷歌还曾迅速修补了类似的漏洞。

比尔兹利对这一做法感到震惊。但谷歌并未对此置评。

比尔兹利指出,Android拥有庞大的装机量,而受此影响的用户在Android装机量中的占比超过60%。他还批评谷歌没有明确表示将支持或不支持“果冻豆”的哪些组件。

事实上,苹果也曾遭遇过类似的指控,因为该公司并没有明确透露各个版本的OS X和iOS系统将获得多长时间的支持。虽然iOS并没有明确支持时限,而苹果也很少为旧版iOS修补漏洞,而是告知用户尽快升级,但该公司通常都会支持好几代采用最新版iOS系统的设备。

但苹果与谷歌在系统升级或更新时存在显著差异,前者直接提供给用户,而后者却无法做到,导致大量Android用户依然采用旧版系统。

比尔兹利还指出,谷歌并没有对“果冻豆”的所有组件采取相同的政策。例如,当Android安全团队收到“果冻豆”音乐播放器的漏洞报告时,他们就会进行修补。“这种对不同组件的差异对待将令人困惑。”他说。

这会造成部分Android厂商为用户修复WebView漏洞,但其他厂商却不会。谷歌表示,虽然该公司不会亲自修补这类漏洞,但却可以接受第三方的补丁,包括设备厂商、运营商甚至安全公司。

比尔兹利称,他目前还不清楚是否有厂商修补了他发现的WebView漏洞。但他还是强烈呼吁谷歌重新考虑这一政策。

发表评论


最新评论

我也要发表评论

Junbao2015 2015-1-15 21:50
表示手机没打过Android补丁。
1 回复
茵风泳月 2015-1-14 16:03  新浪微博网友评论
都不知道谷歌还在修
25 回复
伯乐头条 2015-1-14 15:33  新浪微博网友评论
配图 [黑线]
回复
Vanitas_Bian 2015-1-14 13:33  新浪微博网友评论
不能总背负IE6、Android 2.x的负担啊。
1 回复
氵沐 2015-1-14 13:03  新浪微博网友评论
转发微博.
回复
Kaibo_Hao 2015-1-14 11:03  新浪微博网友评论
不是说好不做恶的吗@Google谷歌爱好者
回复
沈筱宁 2015-1-14 11:03  新浪微博网友评论
安卓5.0快点适配手机吧
回复
老刀IBM 2015-1-14 10:33  新浪微博网友评论
配图亮了
回复
小恶魔提利昂 2015-1-14 10:33  新浪微博网友评论
哈哈。。。。。棒!!!!!!!!!!!!!!!!!
回复

热点评论

茵风泳月 2015-1-14 16:03
都不知道谷歌还在修
25
Junbao2015 2015-1-15 21:50
表示手机没打过Android补丁。
1
Vanitas_Bian 2015-1-14 13:33
不能总背负IE6、Android 2.x的负担啊。
1
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。