北京时间1月13日早间消息,有安全专家表示,谷歌已停止修补安卓4.4“Kit Kat”系统核心组件漏洞。他呼吁该公司重新考虑这一政策,因为这将导致60%的安卓用户面临潜在威胁。
周一,安全供应商Rapid7的工程经理Tod Beardsley表示,谷歌安全团队宣布不会修复Android 4.3“果冻豆”或更早版本中的WebView漏洞。
WebView是操作系统的核心组件,用来支持果冻豆中的安卓浏览器(在Kit Kat系统中谷歌用Chrome替换了这个浏览器),在Kit Kat及更早的系统中显示网页的应用程序也可以调用它。
所有应用程序都使用网络视图来呈现网页或基于网络的内容,如应用程序内广告比尔兹利说,“WebView是安卓的一种攻击方式,是安卓与互联网的沟通渠道。如果我是攻击者,我会想办法在网站上使用WebView,然后引诱人们点击。”
比尔兹利说,去年10月中旬他向谷歌提交了一个与WebView相关的漏洞后,得到的回复是:“我们不会修复WebView漏洞。”就在两周前,谷歌迅速修复了一个类似的漏洞。
比尔兹利对这种做法感到震惊。但谷歌没有对此发表评论。
比尔兹利指出,安卓的装机量巨大,受此影响的用户占安卓装机量的60%以上。他还批评谷歌没有明确指出它将支持或不支持“果冻豆”的哪些成分。
事实上,苹果也遇到了类似的指控,因为该公司没有明确披露OS X和iOS的每个版本将支持多长时间。虽然iOS没有明确支持时限,苹果也很少针对旧版iOS修复漏洞,而是告诉用户尽快升级,但公司通常会用最新版本的iOS支持几代设备。
然而,苹果和谷歌在升级或更新系统时有很大的不同。前者是直接提供给用户的,后者则不能,导致大量安卓用户还在使用旧系统。
比尔兹利还指出,谷歌并没有对果冻豆的所有成分采取相同的政策。比如安卓安全团队收到“果冻豆”音乐播放器的漏洞报告后,会进行修复。"这种对不同成分的区别对待会令人困惑."他说。
这将导致一些安卓厂商为用户修复WebView漏洞,但其他厂商不会。谷歌表示,虽然不会亲自修复此类漏洞,但可以接受来自第三方的补丁,包括设备制造商、运营商甚至安全公司。
比尔兹利说,他仍然不清楚是否有供应商修复了他发现的网络视图漏洞开发者_运维知识库。但他仍强烈敦促谷歌重新考虑这一政策。
精彩评论