沒有安裝最新版Android系統的手機用戶,或許會在 2015 年收到惡意駭客們的大禮。這是因為舊版Android系統中的核心組成部分之一,不再獲得來自Google的安全更新。
在沒有公開警告受影響的 9.39 億用戶的情況下,Google決定停止向Android 4.3 及以下版本發佈 WebView 工具的安全更新。這意味著有近三分之二的Android用戶無法獲得Google的安全支持。
WebView是什麼?
WebView允許APP在不打開另一個程式的情況下顯示網頁。許多應用和廣告網路使用這一工具,甚至連Google Android團隊也在其開發者網頁渲染部分推薦使用該工具。Rapid7 工程經理 Tod Beardsley 表示,WebView也是針對Android的遠程代碼執行漏洞攻擊所優先考慮的地方,它對Android來說就像 Windows的 IE瀏覽器,都是攻擊者們入侵時最喜歡針對的目標。
攻擊者喜歡WebView,是因為它能與Android其他組成部分互動。安全諮詢師 Justin Clarke說道:「網路技術支援以及 PhoneGap 等框架可以調用原生手機功能,是攻擊者針對WebView 工具入侵手機的主要原因之一。」
Android 系統和 WebView 工具中不斷出現安全漏洞,使得缺乏更新的危險程度更高。Rapid7 在其入侵測試工具包 Metasploit 中加入了無數漏洞利用方式。最新版 Metasploit 中包含了 11 種不同的 WebView 利用方式,白帽駭客和黑帽駭客們都可以輕易地利用這一工具來入侵Android系統。
跟Google回報漏洞還要附帶修正檔,前所未聞
事實上,Google從去年末開始就打算停止安全更新的支援。Android安全團隊成員在回覆一次漏洞警告時表示:「如果 WebView受影響的版本低於4.4,我們通常不會自行開發修正檔,不過我們歡迎其他人提交修正檔以供參考。任何涉及 4.4 版本之前的安全漏洞報告如果沒有附帶修正檔,除了通知 OEM 廠商外,我們也無能為力。」
也就是說,如果其他人不僅發現了問題還提供解決方案的話,Google可能會向 4.4 版本之前的Android系統推送 WebView 修正檔。Google要求第三方研究人員在遞交漏洞報告時,提交修正檔,這種做法前所未有。
Android是開源項目,從技術上講,任何人都能製作修正檔,但這些修正檔通過三星或 LG 等設備製造商分發的機會「近乎於零」。
10億用戶受牽連
此舉或許與Google決定在Android 5.0 中「取消綁定」WebView有關。「取消綁定」後,用戶可以單獨通過Google Play自動更新WebView。但更早之前版本的Android系統並不能這麼做,要知道,只有不到 0.1% 的Android用戶升級到了 5.0。
也許不到 0.1% 的Android 5.0用戶會享受通過 Play商店升級WebView 所帶來的進步,但另外99.9% 的用戶卻不能獲得瀏覽器修正檔,如果有釋出這個修正檔的話。
儘管Google可以簡單地建議用戶升級到 4.4 版本及以上,但不能否認的是,大部分Android用戶由於缺少 WebView 支援將面臨更高的安全風險。根據Google的數據,目前Android手機數已達 15.624 億部,其中有 60.1% 的手機運行 4.4 版本以下的Android系統,也就是說這一決定會影響 9.39 億用戶。
via forbes
本文章獲雷鋒網授權使用,原文連結請點此:雷鋒網
到APP情報誌 Facebook 粉絲團、Google+ 專頁找我們玩 !