北京時間1月13日早間消息，一位安全專家表示，谷歌已經(jīng)停止為Android 4.4“奇巧”以前版本的系統(tǒng)修補(bǔ)核心組件漏洞。他呼吁該公司重新考慮這一政策，因為此舉會導(dǎo)致60%的Android用戶面臨潛在威脅。

　　本周一，安全廠商Rapid7工程經(jīng)理托德·比爾茲利(Tod Beardsley)表示，谷歌安全團(tuán)隊宣布將不會修復(fù)Android 4.3“果凍豆”或更早版本系統(tǒng)中的WebView漏洞。

　　WebView是一個操作系統(tǒng)核心組件，用于支持“果凍豆”中的Android瀏覽器(谷歌在“奇巧”系統(tǒng)中用Chrome取代了這款瀏覽器)，而在奇巧及更早版本的系統(tǒng)中還可以被顯示網(wǎng)頁的應(yīng)用調(diào)用。

　　“所有應(yīng)用都會用WebView來渲染網(wǎng)頁或基于網(wǎng)頁的內(nèi)容，例如應(yīng)用內(nèi)置廣告。”比爾茲利說，“WebView是Android的一個攻擊途徑，這是Android與互聯(lián)網(wǎng)溝通的渠道。如果我是攻擊者，我會在網(wǎng)站上找到利用WebView的方法，然后引誘人們點擊。”

　　比爾茲利表示，他在去年10月中旬向谷歌提交了一個與WebView有關(guān)的漏洞后，收到的回復(fù)是：“我們不再修補(bǔ)WebView漏洞。”而短短兩周前，谷歌還曾迅速修補(bǔ)了類似的漏洞。

　　比爾茲利對這一做法感到震驚。但谷歌并未對此置評。

　　比爾茲利指出，Android擁有龐大的裝機(jī)量，而受此影響的用戶在Android裝機(jī)量中的占比超過60%。他還批評谷歌沒有明確表示將支持或不支持“果凍豆”的哪些組件。

　　事實上，蘋果也曾遭遇過類似的指控，因為該公司并沒有明確透露各個版本的OS X和iOS系統(tǒng)將獲得多長時間的支持。雖然iOS并沒有明確支持時限，而蘋果也很少為舊版iOS修補(bǔ)漏洞，而是告知用戶盡快升級，但該公司通常都會支持好幾代采用最新版iOS系統(tǒng)的設(shè)備。

　　但蘋果與谷歌在系統(tǒng)升級或更新時存在顯著差異，前者直接提供給用戶，而后者卻無法做到，導(dǎo)致大量Android用戶依然采用舊版系統(tǒng)。

　　比爾茲利還指出，谷歌并沒有對“果凍豆”的所有組件采取相同的政策。例如，當(dāng)Android安全團(tuán)隊收到“果凍豆”音樂播放器的漏洞報告時，他們就會進(jìn)行修補(bǔ)。“這種對不同組件的差異對待將令人困惑。”他說。

　　這會造成部分Android廠商為用戶修復(fù)WebView漏洞，但其他廠商卻不會。谷歌表示，雖然該公司不會親自修補(bǔ)這類漏洞，但卻可以接受第三方的補(bǔ)丁，包括設(shè)備廠商、運(yùn)營商甚至安全公司。

　　比爾茲利稱，他目前還不清楚是否有廠商修補(bǔ)了他發(fā)現(xiàn)的WebView漏洞。但他還是強(qiáng)烈呼吁谷歌重新考慮這一政策。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。