北京時(shí)間1月13日早間消息，一位安全專家表示，谷歌已經(jīng)停止為Android 4.4“奇巧”以前版本的系統(tǒng)修補(bǔ)核心組件漏洞。他呼吁該公司重新考慮這一政策，因?yàn)榇伺e會(huì)導(dǎo)致60%的Android用戶面臨潛在威脅。

　　本周一，安全廠商Rapid7工程經(jīng)理托德·比爾茲利(Tod Beardsley)表示，谷歌安全團(tuán)隊(duì)宣布將不會(huì)修復(fù)Android 4.3“果凍豆”或更早版本系統(tǒng)中的WebView漏洞。

　　WebView是一個(gè)操作系統(tǒng)核心組件，用于支持“果凍豆”中的Android瀏覽器(谷歌在“奇巧”系統(tǒng)中用Chrome取代了這款瀏覽器)，而在奇巧及更早版本的系統(tǒng)中還可以被顯示網(wǎng)頁的應(yīng)用調(diào)用。

　　“所有應(yīng)用都會(huì)用WebView來渲染網(wǎng)頁或基于網(wǎng)頁的內(nèi)容，例如應(yīng)用內(nèi)置廣告。”比爾茲利說，“WebView是Android的一個(gè)攻擊途徑，這是Android與互聯(lián)網(wǎng)溝通的渠道。如果我是攻擊者，我會(huì)在網(wǎng)站上找到利用WebView的方法，然后引誘人們點(diǎn)擊。”

　　比爾茲利表示，他在去年10月中旬向谷歌提交了一個(gè)與WebView有關(guān)的漏洞后，收到的回復(fù)是：“我們不再修補(bǔ)WebView漏洞。”而短短兩周前，谷歌還曾迅速修補(bǔ)了類似的漏洞。

　　比爾茲利對(duì)這一做法感到震驚。但谷歌并未對(duì)此置評(píng)。

　　比爾茲利指出，Android擁有龐大的裝機(jī)量，而受此影響的用戶在Android裝機(jī)量中的占比超過60%。他還批評(píng)谷歌沒有明確表示將支持或不支持“果凍豆”的哪些組件。

　　事實(shí)上，蘋果也曾遭遇過類似的指控，因?yàn)樵摴静]有明確透露各個(gè)版本的OS X和iOS系統(tǒng)將獲得多長時(shí)間的支持。雖然iOS并沒有明確支持時(shí)限，而蘋果也很少為舊版iOS修補(bǔ)漏洞，而是告知用戶盡快升級(jí)，但該公司通常都會(huì)支持好幾代采用最新版iOS系統(tǒng)的設(shè)備。

　　但蘋果與谷歌在系統(tǒng)升級(jí)或更新時(shí)存在顯著差異，前者直接提供給用戶，而后者卻無法做到，導(dǎo)致大量Android用戶依然采用舊版系統(tǒng)。

　　比爾茲利還指出，谷歌并沒有對(duì)“果凍豆”的所有組件采取相同的政策。例如，當(dāng)Android安全團(tuán)隊(duì)收到“果凍豆”音樂播放器的漏洞報(bào)告時(shí)，他們就會(huì)進(jìn)行修補(bǔ)。“這種對(duì)不同組件的差異對(duì)待將令人困惑。”他說。

　　這會(huì)造成部分Android廠商為用戶修復(fù)WebView漏洞，但其他廠商卻不會(huì)。谷歌表示，雖然該公司不會(huì)親自修補(bǔ)這類漏洞，但卻可以接受第三方的補(bǔ)丁，包括設(shè)備廠商、運(yùn)營商甚至安全公司。

　　比爾茲利稱，他目前還不清楚是否有廠商修補(bǔ)了他發(fā)現(xiàn)的WebView漏洞。但他還是強(qiáng)烈呼吁谷歌重新考慮這一政策。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。