六成安卓设备存安全风险 谷歌无意支持老版本
作者:星期日, 一月 18, 20150

0安全研究人员在较早版本的安卓移动操作系统中发现了一系列针对WebView的溢出漏洞。尽管当前在用的移动设备中60%依赖于脆弱的WebView,谷歌还是决意不对其打补丁或进行升级。

Todd Bearsley在信息安全风险解决方案提供商Rapid7的安全博客Rapid7 Security Street上发表博文称,Metasploit目前加载了针对WebView的11个溢出漏洞。但他同时澄清道,WebView是安卓设备渲染网页的核 心组件,已在安卓4.4中被升级替换为更具谷歌浏览器风格的版本。

谷歌以前会修复这些老旧漏洞,但明显不再支持哪些过时版本的安卓系统,或者说,不再支持老旧WebView。谷歌新的官方立场是:不为安卓4.4以前的WebView打补丁,但接受研究人员的补丁,也会在发现新漏洞时通知合作的原始设备制造商(OEM)。

信息系统管理软件开发商NetIQ的解决方案架构师Garvey Hays阐述到:“即使谷歌提供补丁,也不能立刻帮到那60%受影响的用户,因为到达用户手机的最后一英里是由手机制造商或者OEM完成的。事实上,用户 付钱的对象是OEM,而不是谷歌(除非你用的是Nexus手机)。是OEM应该给用户以支持,为他们提供补丁或升级系统到4.4及以上。”

事实就是如此。而且,此一事件还揭露了安卓更大的问题。谷歌研发了安卓,但它是一个开源平台,参与者众多而成分复杂。仔细想想,安卓4.4早在2013年 10月就发布了,一年多过去了也才占有不足40%的安卓设备。而最新版本的安卓5.0,2014年11月出就已放出,却至今尚未分得甚至1%那么少的安卓 市场。

不是所有的安卓设备——甚至那些运行着同版本安卓系统的设备——都是“生”而平等的。谷歌研发出新版本安卓系统,然后安卓设备生厂 商和无线提供商就接手了系统的再开发,往往会绑进一堆累赘的第三方应用、特性、皮肤等等。这也是为什么安卓补丁或新安卓系统在实际可用之前要历经大量调整 和测试的原因。很多情况下,厂商和无线提供商更倾向于用户升级到更新的设备,这样他们就免去在老版设备上测试和部署更新的损耗了。

综合以上考虑,我还真不能对谷歌不提供补丁的行为多说什么。安卓是整个开发社区的努力结果,因此说打补丁是整个社区的责任也不无道理。

如果无人站出来挑起开发补丁保护旧版安卓设备的责任,其结果就是亿万台脆弱的设备成为黑客的待宰羔羊。“这必然导致可遭恶意利用的旧版设备成为‘长尾’溢出大戏上演的舞台。“

安全研究人员已经报告过近年来移动恶意软件威胁数量的指数级增长,且这些恶意软件几乎都以安卓系统为目标。希望安卓社区可以找到解决恶意软件激增的方法,确保补丁一直及时地被研发出来并提供给用户。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章