本篇文章940字,读完约2分钟
一位安全专家表示,谷歌已经停止修补安卓4.4“乔奇”系统的核心组件漏洞。他呼吁公司重新考虑这项政策,因为这将导致60%的安卓用户面临潜在威胁。
周一,安全供应商rapid7的工程经理托德比尔兹利说,谷歌的安全团队宣布,它不会修复安卓4.3“果冻豆”或早期系统中的网络视图漏洞。
Webview是操作系统的核心组件,用于支持果冻豆中的android浏览器(谷歌在乔奇系统中用chrome替换了这个浏览器),它也可以被乔奇和早期系统中显示网页的应用程序调用。
所有应用程序都使用webview呈现网页或基于web的内容,如应用程序内置广告比尔兹利说:“网络浏览是安卓的一种攻击方式,它是安卓和互联网之间的沟通渠道。”如果我是攻击者,我会想办法在网站上使用webview,然后诱使人们点击。”
比尔兹利说,去年10月中旬他向谷歌提交了一个与webview相关的漏洞后,得到的回复是:“我们不再修复webview的漏洞。”就在两周前,谷歌还迅速修复了类似的漏洞。
比尔兹利对这种做法感到震惊。谷歌对此不予置评。
比尔兹利指出,安卓拥有巨大的装机容量,受影响的用户占安卓装机容量的60%以上。他还批评谷歌没有明确指出它支持或不支持果冻豆的哪些成分。
事实上,苹果公司也遇到了类似的指控,因为该公司没有明确披露各种版本的osx和ios系统将获得多长时间的支持。尽管ios没有明确的支持时间限制,苹果也很少为旧的ios修复错误,但它告诉用户要尽快升级,该公司通常支持几代使用最新ios系统的设备。
然而,苹果和谷歌在升级或更新系统时有很大的不同。前者是直接提供给用户的,而后者做不到,导致大量安卓用户仍然使用旧版本的系统。
比尔兹利还指出,谷歌并没有对果冻豆的所有成分采取相同的政策。例如,当安卓安全团队收到“果冻豆”音乐播放器的漏洞报告时,他们会修复它。"这种对不同成分的区别对待会令人困惑."他说。
这将导致一些安卓供应商为用户修复webview漏洞,但其他供应商不会。谷歌表示,尽管该公司不会亲自修复此类漏洞,但它可以接受来自第三方的补丁,包括设备制造商、运营商,甚至安全公司。
比尔兹利说,他仍然不清楚是否有供应商修复了他发现的webview漏洞。但他强烈敦促谷歌重新考虑这一政策。