沒有安裝最新版Android系統的手機用戶，或許會在 2015 年收到惡意駭客們的大禮。這是因為舊版Android系統中的核心組成部分之一，不再獲得來自Google的安全更新。

在沒有公開警告受影響的 9.39 億用戶的情況下，Google決定停止向Android 4.3 及以下版本發佈 WebView 工具的安全更新。這意味著有近三分之二的Android用戶無法獲得Google的安全支持。

WebView是什麼？

WebView允許APP在不打開另一個程式的情況下顯示網頁。許多應用和廣告網路使用這一工具，甚至連Google Android團隊也在其開發者網頁渲染部分推薦使用該工具。Rapid7 工程經理 Tod Beardsley 表示，WebView也是針對Android的遠程代碼執行漏洞攻擊所優先考慮的地方，它對Android來說就像 Windows的 IE瀏覽器，都是攻擊者們入侵時最喜歡針對的目標。

攻擊者喜歡WebView，是因為它能與Android其他組成部分互動。安全諮詢師 Justin Clarke說道：「網路技術支援以及 PhoneGap 等框架可以調用原生手機功能，是攻擊者針對WebView 工具入侵手機的主要原因之一。」

Android 系統和 WebView 工具中不斷出現安全漏洞，使得缺乏更新的危險程度更高。Rapid7 在其入侵測試工具包 Metasploit 中加入了無數漏洞利用方式。最新版 Metasploit 中包含了 11 種不同的 WebView 利用方式，白帽駭客和黑帽駭客們都可以輕易地利用這一工具來入侵Android系統。

跟Google回報漏洞還要附帶修正檔，前所未聞

事實上，Google從去年末開始就打算停止安全更新的支援。Android安全團隊成員在回覆一次漏洞警告時表示：「如果 WebView受影響的版本低於4.4，我們通常不會自行開發修正檔，不過我們歡迎其他人提交修正檔以供參考。任何涉及 4.4 版本之前的安全漏洞報告如果沒有附帶修正檔，除了通知 OEM 廠商外，我們也無能為力。」

也就是說，如果其他人不僅發現了問題還提供解決方案的話，Google可能會向 4.4 版本之前的Android系統推送 WebView 修正檔。Google要求第三方研究人員在遞交漏洞報告時，提交修正檔，這種做法前所未有。

Android是開源項目，從技術上講，任何人都能製作修正檔，但這些修正檔通過三星或 LG 等設備製造商分發的機會「近乎於零」。

10億用戶受牽連

此舉或許與Google決定在Android 5.0 中「取消綁定」WebView有關。「取消綁定」後，用戶可以單獨通過Google Play自動更新WebView。但更早之前版本的Android系統並不能這麼做，要知道，只有不到 0.1% 的Android用戶升級到了 5.0。

也許不到 0.1% 的Android 5.0用戶會享受通過 Play商店升級WebView 所帶來的進步，但另外99.9% 的用戶卻不能獲得瀏覽器修正檔，如果有釋出這個修正檔的話。

儘管Google可以簡單地建議用戶升級到 4.4 版本及以上，但不能否認的是，大部分Android用戶由於缺少 WebView 支援將面臨更高的安全風險。根據Google的數據，目前Android手機數已達 15.624 億部，其中有 60.1% 的手機運行 4.4 版本以下的Android系統，也就是說這一決定會影響 9.39 億用戶。

via forbes

本文章獲雷鋒網授權使用，原文連結請點此：雷鋒網

到APP情報誌 Facebook 粉絲團、Google+ 專頁找我們玩 !