谷歌停止修补旧版Android漏洞 60%用户面临威胁
一位安全专家表示,谷歌已经停止为Android 4.4 奇巧 以前版本的系统修补核心组件漏洞。他呼吁该公司重新考虑这一政策,因为此举会导致60%的Android用户面临潜在威胁。
本周一,安全厂商Rapid7工程经理托德 比尔兹利(Tod Beardsley)表示,谷歌安全团队宣布将不会修复Android 4.3 果冻豆 或更早版本系统中的WebView漏洞。
WebView是一个操作系统核心组件,用于支持 果冻豆 中的Android浏览器(谷歌在 奇巧 系统中用Chrome取代了这款浏览器),而在奇巧及更早版本的系统中还可以被显示网页的应用调用。
所有应用都会用WebView来渲染网页或基于网页的内容,例如应用内置广告。 比尔兹利说, WebView是Android的一个攻击途径,这是Android与互联网沟通的渠道。如果我是攻击者,我会在网站上找到利用WebView的方法,然后引诱人们点击。
比尔兹利表示,他在去年10月中旬向谷歌提交了一个与WebView有关的漏洞后,收到的回复是: 我们不再修补WebView漏洞。 而短短两周前,谷歌还曾迅速修补了类似的漏洞。
比尔兹利对这一做法感到震惊。但谷歌并未对此置评。
比尔兹利指出,Android拥有庞大的装机量,而受此影响的用户在Android装机量中的占比超过60%。他还批评谷歌没有明确表示将支持或不支持 果冻豆 的哪些组件。
事实上,苹果也曾遭遇过类似的指控,因为该公司并没有明确透露各个版本的OS X和iOS系统将获得多长时间的支持。虽然iOS并没有明确支持时限,而苹果也很少为旧版iOS修补漏洞,而是告知用户尽快升级,但该公司通常都会支持好几代采用最新版iOS系统的设备。
但苹果与谷歌在系统升级或更新时存在显著差异,前者直接提供给用户,而后者却无法做到,导致大量Android用户依然采用旧版系统。
比尔兹利还指出,谷歌并没有对 果冻豆 的所有组件采取相同的政策。例如,当Android安全团队收到 果冻豆 音乐播放器的漏洞报告时,他们就会进行修补。 这种对不同组件的差异对待将令人困惑。 他说。
这会造成部分Android厂商为用户修复WebView漏洞,但其他厂商却不会。谷歌表示,虽然该公司不会亲自修补这类漏洞,但却可以接受第三方的补丁,包括设备厂商、运营商甚至安全公司。
比尔兹利称,他目前还不清楚是否有厂商修补了他发现的WebView漏洞。但他还是强烈呼吁谷歌重新考虑这一政策。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/49303.html
Android相关文章
- android 浏览器 开发,Android 浏览器的开发实例分享
- 自己动手用Android和Xposed编写一个微信聊天机器人——《微信聊天精灵》实现关键词自动回复。
- android onresume方法,Android onActivityResult()和onResume()的执行顺序
- android中适配器的作用,适配器模式 在Android中的简单理解「建议收藏」
- android_混淆
- android 退出APP
- 测试android sdk是否安装成功,配置Android SDK
- Android SDK常用命令
- android-短信验证功能,Android实现获取短信验证码的功能以及自定义GUI短信验证详解…
- android ListView 例子
- android短信验证码方案,Android开发之属于你的短信验证码(一)
- Android 编译_android线程
- Android n_android 反编译
- Android Services Library_android freeware
- Android SDK Tools_android.intent.category.DEFAULT
- android 系统浏览器 源码-Android 最最最简单的浏览器代码
- android.support.v4.app.Fragment$InstantiationException问题解决
- 【Android 逆向】使用 Python 解析 ELF 文件 ( Capstone 反汇编框架 | PyCharm 中导入 Capstone 反汇编框架 )
- 【错误记录】编译 Android 版本的 ijkplayer 报错 ( You must define ANDROID_NDK before starting. | 下载指定版本 NDK )
- 【Android Gradle 插件】AaptOptions 配置 ⑥ ( Overlay 重叠包机制 | AaptOptions#additionalParameters 附加参数配置 )
- Android快捷便利但不常被使用的原生工具类详解手机开发
- android AlarmManager讲解详解手机开发
- Android Message APP 拒绝服务漏洞(CVE-2017-0780)分析与利用
- Android系统中MySQL数据库连接实现(安卓mysql连接)
- Android 开发必备知识:我和 Gradle 有个约会
- Android开发之图形图像与动画(五)LayoutAnimationController详解
- 解析android中系统日期时间的获取
- Handler与Android多线程详解
- Android实现动态切换组件背景的方法