此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
新浪科技訊 香港時間1月13日早間消息,一位安全專家表示,Google已經停止為Android 4.4“奇巧”以前版本的系統修補核心組件漏洞。他呼籲該公司重新考慮這一政策,因為此舉會導致60%的Android用戶面臨潛在威脅。 本週一,安全廠商Rapid7工程經理托德·比爾茲利(Tod Beardsley)表示,Google安全團隊宣佈將不會修複Android 4.3“果凍豆”或更早版本系統中的WebView漏洞。
WebView是一個操作系統核心組件,用於支援“果凍豆”中的Android瀏覽器(Google在“奇巧”系統中用Chrome取代了這款瀏覽器),而在奇巧及更早版本的系統中還可以被顯示網頁的應用調用。
“所有應用都會用WebView來渲染網頁或基於網頁的內容,例如應用內置廣告。”比爾茲利說,“WebView是Android的一個攻擊途徑,這是Android與互聯網溝通的渠道。如果我是攻擊者,我會在網站上找到利用WebView的方法,然後引誘人們點擊。”
比爾茲利表示,他在去年10月中旬向Google提交了一個與WebView有關的漏洞後,收到的回複是:“我們不再修補WebView漏洞。”而短短兩週前,Google還曾迅速修補了類似的漏洞。
比爾茲利對這一做法感到震驚。但Google並未對此置評。
比爾茲利指出,Android擁有龐大的裝機量,而受此影響的用戶在Android裝機量中的占比超過60%。他還批評Google沒有明確表示將支援或不支援“果凍豆”的哪些組件。
事實上,Apple也曾遭遇過類似的指控,因為該公司並沒有明確透露各個版本的OS X和iOS系統將獲得多長時間的支援。雖然iOS並沒有明確支援時限,而Apple也很少為舊版iOS修補漏洞,而是告知用戶盡快升級,但該公司通常都會支援好幾代採用最新版iOS系統的設備。
但Apple與Google在系統升級或更新時存在顯著差異,前者直接提供給用戶,而後者卻無法做到,導致大量Android用戶依然採用舊版系統。
比爾茲利還指出,Google並沒有對“果凍豆”的所有組件採取相同的政策。例如,當Android安全團隊收到“果凍豆”音樂播放器的漏洞報告時,他們就會進行修補。“這種對不同組件的差異對待將令人困惑。”他說。
這會造成部分Android廠商為用戶修複WebView漏洞,但其他廠商卻不會。Google表示,雖然該公司不會親自修補這類漏洞,但卻可以接受第三方的補丁,包括設備廠商、運營商甚至安全公司。
比爾茲利稱,他目前還不清楚是否有廠商修補了他發現的WebView漏洞。但他還是強烈呼籲Google重新考慮這一政策。(書聿)
英文版在此:
http://www.forbes.com/sites/thomasbrewster/2015/01/12/google-webview-updates-quietly-killed-for-most-androids/
|
D80 烧机终极指南 (2007-8-31) dickson 
发表于 2015-1-13 15:05
