Google賣了10億用戶，不再提供WebView安全更新

沒有安裝最新版Android系統的手機用戶，或許會在 2015 年收到惡意黑客們的大禮。這是因為舊版Android系統中的核心組成部分之一，不再獲得來自Google的安全更新。

在沒有公開警告受影響的 9.39 億用戶的情況下，Google決定停止向Android 4.3 及以下版本發布 WebView 工具的安全更新。這意味著有近三分之二的Android用戶無法獲得Google的安全支持。

WebView是什么？

WebView允許應用在不打開另一個應用的情況下顯示網頁。許多應用和廣告網絡使用這一工具，甚至連Google Android團隊也在其開發者文檔網頁渲染部分推薦使用該工具。Rapid7 工程經理 Tod Beardsley 表示，WebView也是針對Android的遠程代碼執行漏洞攻擊所優先考慮的地方，它對Android來說就像 Windows的 IE瀏覽器，都是攻擊者們入侵時最喜歡針對的目標。

攻擊者喜歡WebView，是因為它能與Android其他組成部分互動。安全咨詢師 Justin Clarke說道：“支持網絡技術以及 PhoneGap 等框架可以調用原生手機功能，是攻擊者針對WebView 工具入侵手機的主要原因之一?！?/p>

Android系統和 WebView 工具中不斷出現安全漏洞，使得缺乏更新的危險程度更高。Rapid7 在其入侵測試工具包 Metasploit 中加入了無數漏洞利用方式。最新版 Metasploit 中包含了 11 種不同的 WebView 利用方式，白帽子和黑帽子們都可以輕易地利用這一工具來入侵Android系統。

報告漏洞還要附帶補丁，前所未聞

事實上，Google從去年末開始就打算停止安全更新的支持。Android安全團隊成員在回復一次漏洞警告時表示：“如果 WebView受影響的版本低于4.4，我們通常不會自行開發補丁，不過我們歡迎其他人提交補丁以供參考。任何涉及 4.4 版本之前的安全漏洞報告如果沒有附帶補丁，除了通知 OEM 廠商外，我們也無能為力?！?/p>

也就是說，如果其他人不僅發現了問題還提供解決方案的話，Google可能會向 4.4 版本之前的Android系統推送 WebView 補丁。Google要求第三方研究人員在遞交漏洞報告時，提交補丁，這種做法前所未有。

Android是開源項目，從技術上講，任何人都能制作補丁，但這些補丁通過三星或 LG 等設備制造商分發的機會“近乎于零”。

10億用戶受牽連

此舉或與Google決定在Android 5.0 中“取消綁定”WebView有關?！叭∠壎ā焙螅脩艨梢詥为毻ㄟ^Google Play自動更新WebView。但更早之前版本的Android系統并不能這么做，要知道，只有不到 0.1% 的Android用戶升級到了 5.0。

也許不到 0.1% 的Android 5.0用戶會享受通過 Play商店升級WebView 所帶來的進步，但另外99.9% 的用戶卻不能獲得瀏覽器補丁，如果有這個補丁的話。

盡管Google可以簡單地建議用戶升級到 4.4 版本及以上，但不能否認的是，大部分Android用戶由于缺少 WebView 支持將面臨更高的安全風險。根據Google的數據，目前Android手機數已達 15.624 億部，其中有 60.1% 的手機運行 4.4 版本以下的Android系統，也就是說這一決定會影響 9.39 億用戶。

via forbes

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。