改谷歌停止修补Android44漏洞60用

谷歌停止修补Android4.4漏洞 60%用户面临威胁

北京时间1月13日早间消息，一位安全专家表示，谷歌已经停止为Android 4.4奇巧以前版本的系统修补核心组件漏洞。他呼吁该公司重新考虑这一政策，因为此举会导致60%的Android用户面临潜在威胁。

本周一，安全厂商Rapid7工程经理托德比尔兹利(Tod Beardsley)表示，谷歌安全团队宣布将不会修复Android 4.3果冻豆或更早版本系统中的WebView漏洞。

WebView是一个操作系统核心组件，用于支持果冻豆中的Android浏览器(谷歌在奇巧系统中用Chrome取代了这款浏览器)，而在奇巧及更早版本的系统中还可以被显示页的应用调用。

所有应用都会用WebView来渲染页或基于页的内容，例如应用内置广告。比尔兹利说，WebView是Android的一个攻击途径，这是Android与互联沟通的渠道。如果我是攻击者，我会在站上找到利用WebView的方法，然后引诱人们点击。

比尔兹利表示，他在去年10月中旬向谷歌提交了一个与WebView有关的漏洞后，收到的回复是：我们不再修补WebView漏洞。而短短两周前，谷歌还曾迅速修补了类似的漏洞。

比尔兹利对这一做法感到震惊。但谷歌并未对此置评。

比尔兹利指出，Android拥有庞大的装机量，而受此影响的用户在Android装机量中的占比超过60%。他还批评谷歌没有明确表示将支持或不支持果冻豆的哪些组件。

事实上，苹果也曾遭遇过类似的指控，因为该公司并没有明确透露各个版本的OS X和iOS系统将获得多长时间的支持。虽然iOS并没有明确支持时限，而苹果也很少为旧版iOS修补漏洞，而是告知用户尽快升级，但该公司通常都会支持好几代采用最新版iOS系统的设备。

但苹果与谷歌在系统升级或更新时存在显著差异，前者直接提供给用户，而后者却无法做到，导致大量Android用户依然采用旧版系统。

比尔兹利还指出，谷歌并没有对果冻豆的所有组件采取相同的政策。例如，当Android安全团队收到果冻豆音乐播放器的漏洞报告时，他们就会进行修补。这种对不同组件的差异对待将令人困惑。他说。

这会造成部分Android厂商为用户修复WebView漏洞，但其他厂商却不会。谷歌表示，虽然该公司不会亲自修补这类漏洞，但却可以接受第三方的补丁，包括设备厂商、运营商甚至安全公司。

比尔兹利称，他目前还不清楚是否有厂商修补了他发现的WebView漏洞。但他还是强烈呼吁谷歌重新考虑这一政策。

关注ITBear科技资讯公众号（itbe最终踏上征战妖神之路。　　　　常言道：属性不够ar365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。