1
| 本文作者: 不知 | 2015-01-13 10:39 |
沒有安裝最新版Android系統(tǒng)的手機用戶,或許會在 2015 年收到惡意黑客們的大禮。這是因為舊版Android系統(tǒng)中的核心組成部分之一,不再獲得來自Google的安全更新。
在沒有公開警告受影響的 9.39 億用戶的情況下,Google決定停止向Android 4.3 及以下版本發(fā)布 WebView 工具的安全更新。這意味著有近三分之二的Android用戶無法獲得Google的安全支持。
WebView允許應(yīng)用在不打開另一個應(yīng)用的情況下顯示網(wǎng)頁。許多應(yīng)用和廣告網(wǎng)絡(luò)使用這一工具,甚至連Google Android團隊也在其開發(fā)者文檔網(wǎng)頁渲染部分推薦使用該工具。Rapid7 工程經(jīng)理 Tod Beardsley 表示,WebView也是針對Android的遠程代碼執(zhí)行漏洞攻擊所優(yōu)先考慮的地方,它對Android來說就像 Windows的 IE瀏覽器,都是攻擊者們?nèi)肭謺r最喜歡針對的目標。
攻擊者喜歡WebView,是因為它能與Android其他組成部分互動。安全咨詢師 Justin Clarke說道:“支持網(wǎng)絡(luò)技術(shù)以及 PhoneGap 等框架可以調(diào)用原生手機功能,是攻擊者針對WebView 工具入侵手機的主要原因之一。”
Android系統(tǒng)和 WebView 工具中不斷出現(xiàn)安全漏洞,使得缺乏更新的危險程度更高。Rapid7 在其入侵測試工具包 Metasploit 中加入了無數(shù)漏洞利用方式。最新版 Metasploit 中包含了 11 種不同的 WebView 利用方式,白帽子和黑帽子們都可以輕易地利用這一工具來入侵Android系統(tǒng)。
事實上,Google從去年末開始就打算停止安全更新的支持。Android安全團隊成員在回復一次漏洞警告時表示:“如果 WebView受影響的版本低于4.4,我們通常不會自行開發(fā)補丁,不過我們歡迎其他人提交補丁以供參考。任何涉及 4.4 版本之前的安全漏洞報告如果沒有附帶補丁,除了通知 OEM 廠商外,我們也無能為力。”
也就是說,如果其他人不僅發(fā)現(xiàn)了問題還提供解決方案的話,Google可能會向 4.4 版本之前的Android系統(tǒng)推送 WebView 補丁。Google要求第三方研究人員在遞交漏洞報告時,提交補丁,這種做法前所未有。
Android是開源項目,從技術(shù)上講,任何人都能制作補丁,但這些補丁通過三星或 LG 等設(shè)備制造商分發(fā)的機會“近乎于零”。
此舉或與Google決定在Android 5.0 中“取消綁定”WebView有關(guān)。“取消綁定”后,用戶可以單獨通過Google Play自動更新WebView。但更早之前版本的Android系統(tǒng)并不能這么做,要知道,只有不到 0.1% 的Android用戶升級到了 5.0。
也許不到 0.1% 的Android 5.0用戶會享受通過 Play商店升級WebView 所帶來的進步,但另外99.9% 的用戶卻不能獲得瀏覽器補丁,如果有這個補丁的話。
盡管Google可以簡單地建議用戶升級到 4.4 版本及以上,但不能否認的是,大部分Android用戶由于缺少 WebView 支持將面臨更高的安全風險。根據(jù)Google的數(shù)據(jù),目前Android手機數(shù)已達 15.624 億部,其中有 60.1% 的手機運行 4.4 版本以下的Android系統(tǒng),也就是說這一決定會影響 9.39 億用戶。
via forbes
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
