谷歌停止修补旧版Android漏洞 60%用户将面临威胁

据国外媒体的报道，一位安全专家日前在自己的博客中表示，谷歌已经停止为Android 4.4（又名“KitKat”）以前版本的Android系统修补核心组件漏洞，该专家呼吁谷歌重新考虑这一政策，因为此举有可能会导致60%的Android用户面临潜在威胁。

安全厂商Rapid7的工程经理托德·比尔兹利（Tod Beardsley）在本周一表示，谷歌安全团队宣布将停止修复Android 4.3“果冻豆（Jelly Bean）”及更早版本系统中所存在的WebView漏洞。

据了解，WebView是Android操作系统中的一个核心组件，用于支持“果冻豆”中的Android浏览器，尽管谷歌已经在KitKat中用Chrome取代了该浏览器，但其在KitKat及更早版本的Android中还可以被显示网页的应用调用。

“所有应用都会用WebView来渲染网页或基于网页的内容，例如应用内置的广告，”比尔兹利在博文中说道，“WebView是Android与互联网沟通的渠道之一，也是Android遭受攻击的路径之一。如果我是一名攻击者，那么我就会在网站上找到利用WebView的方法，然后引诱人们点击它。”

比尔兹利表示，去年10月中旬，他曾向谷歌的安全响应团队提交了一个与WebView有关的漏洞，随后得到的回复是“我们将不再修补WebView漏洞”，而在彼时两周前，谷歌还曾迅速修补过类似的漏洞。“如果受到影响的WebView版本是4.4之前，我们将不会为其开发修复补丁，但是我们欢迎第三方开发者提供对应的补丁，”谷歌安全响应团队在回复比尔兹利的邮件中说道，“除了通知OEM厂商之外，我们将不会就4.4版本之前的系统漏洞做任何修补。”

比尔兹利对谷歌的这一“目光短浅”的做法“感到震惊”，不过谷歌官方目前并未对相应的政策进行确认，也并未对比尔兹利的博文发表评论。

比尔兹利指出，Android拥有巨大的装机量，而受此影响的用户在Android总装机量中的占比超过60%。“我知道对所有的Android系统提供安全支持是一项艰巨的任务，”比尔兹利说道，“但是考虑到‘果冻豆’的巨大份额，谷歌目前的做法显得有些草率。”他还批评谷歌没有明确表示未来将会支持或不支持“果冻豆”的哪些组件，从而让开发者和用户都有所准备。

苹果此前也曾遭遇过类似的指控，当时是由于其并没有明确透露各个版本的OS X和iOS系统将获得多长时间的技术支持。不过与谷歌不同的是，尽管苹果并未明确iOS的支持时限，也很少为旧版iOS修补漏洞，而是告知用户尽快升级，但苹果通常都会同时支持数代采用最新版iOS系统的设备，同时会将升级包推送给用户，而谷歌显然没有做到这一点，导致目前大量的Android用户依然在使用旧版的Android系统。

比尔兹利还指出，谷歌并没有对“果冻豆”的所有组件采取相同的政策。比如当Android安全相应团队收到“果冻豆”音乐播放器的漏洞报告时，他们就会对其进行修补，“这种针对不同组件的态度差异让人感到困惑不已，”他说道。这种做法无疑会增加更多的不确定性，部分Android厂商可能会主动修复WebView漏洞，但其他厂商则不会。

谷歌表示，虽然其不会亲自修补此类漏洞，但却可以接受第三方的补丁，包括设备厂商、运营商以及安全公司。但比尔兹利表示，目前他还不清楚是否有厂商修补了他发现的WebView漏洞。

比尔兹利在博文中呼吁谷歌重新考虑这一政策。“谷歌的工程团队在许多技术领域的实力都非常强大，包括Android的系统开发，所以最好还是由他们亲自出面修补这些漏洞最为靠谱，”比尔兹利在博文中写道，“所以我希望谷歌能够重新考虑这一政策。”

文章由深圳网站建设转载自网易科技频道，原文地址http://tech.163.com/15/0113/10/AFR6V4K8000915BF.html