北京時(shí)間1月13日早間消息���,有安全專家表示�����,谷歌已停止修補(bǔ)安卓4.4“Kit Kat”系統(tǒng)核心組件漏洞�����。他呼吁該公司重新考慮這一政策��,因?yàn)檫@將導(dǎo)致60%的安卓用戶面臨潛在威脅��。
周一����,安全供應(yīng)商Rapid7的工程經(jīng)理Tod Beardsley表示����,谷歌安全團(tuán)隊(duì)宣布不會(huì)修復(fù)Android 4.3“果凍豆”或更早版本中的WebView漏洞�����。
WebView是操作系統(tǒng)的核心組件���,用來(lái)支持果凍豆中的安卓瀏覽器(在Kit Kat系統(tǒng)中谷歌用Chrome替換了這個(gè)瀏覽器),在Kit Kat及更早的系統(tǒng)中顯示網(wǎng)頁(yè)的應(yīng)用程序也可以調(diào)用它��。
所有應(yīng)用程序都使用網(wǎng)絡(luò)視圖來(lái)呈現(xiàn)網(wǎng)頁(yè)或基于網(wǎng)絡(luò)的內(nèi)容����,如應(yīng)用程序內(nèi)廣告比爾茲利說(shuō),“WebView是安卓的一種攻擊方式���,是安卓與互聯(lián)網(wǎng)的溝通渠道���。如果我是攻擊者,我會(huì)想辦法在網(wǎng)站上使用WebView����,然后引誘人們點(diǎn)擊?��!?
比爾茲利說(shuō)��,去年10月中旬他向谷歌提交了一個(gè)與WebView相關(guān)的漏洞后�����,得到的回復(fù)是:“我們不會(huì)修復(fù)WebView漏洞���?!本驮趦芍芮?��,谷歌迅速修復(fù)了一個(gè)類似的漏洞。
比爾茲利對(duì)這種做法感到震驚�����。但谷歌沒(méi)有對(duì)此發(fā)表評(píng)論����。
比爾茲利指出,安卓的裝機(jī)量巨大���,受此影響的用戶占安卓裝機(jī)量的60%以上�����。他還批評(píng)谷歌沒(méi)有明確指出它將支持或不支持“果凍豆”的哪些成分����。
事實(shí)上,蘋果也遇到了類似的指控�����,因?yàn)樵摴緵](méi)有明確披露OS X和iOS的每個(gè)版本將支持多長(zhǎng)時(shí)間�����。雖然iOS沒(méi)有明確支持時(shí)限�����,蘋果也很少針對(duì)舊版iOS修復(fù)漏洞�,而是告訴用戶盡快升級(jí),但公司通常會(huì)用最新版本的iOS支持幾代設(shè)備���。
然而��,蘋果和谷歌在升級(jí)或更新系統(tǒng)時(shí)有很大的不同�����。前者是直接提供給用戶的���,后者則不能���,導(dǎo)致大量安卓用戶還在使用舊系統(tǒng)。
比爾茲利還指出�,谷歌并沒(méi)有對(duì)果凍豆的所有成分采取相同的政策。比如安卓安全團(tuán)隊(duì)收到“果凍豆”音樂(lè)播放器的漏洞報(bào)告后��,會(huì)進(jìn)行修復(fù)���。"這種對(duì)不同成分的區(qū)別對(duì)待會(huì)令人困惑."他說(shuō)����。
這將導(dǎo)致一些安卓廠商為用戶修復(fù)WebView漏洞�,但其他廠商不會(huì)�����。谷歌表示�,雖然不會(huì)親自修復(fù)此類漏洞�����,但可以接受來(lái)自第三方的補(bǔ)丁�����,包括設(shè)備制造商����、運(yùn)營(yíng)商甚至安全公司�。
比爾茲利說(shuō),他仍然不清楚是否有供應(yīng)商修復(fù)了他發(fā)現(xiàn)的網(wǎng)絡(luò)視圖漏洞�����。但他仍強(qiáng)烈敦促谷歌重新考慮這一政策���。
