随着谷歌停止WebView补丁 9.3亿台Android设备易受攻击
由于谷歌宣布将停止为Android中的KitKat前WebView错误提供补丁,估计将有9.3亿台设备容易受到黑客攻击。
WebView是用于在Android设备上呈现Web页面的核心组件。最新的基于Chrome的WebView版本是为Android4.4版(KitKat)推出的,但这仍然使大量机器暴露在外。
来自谷歌的最新Android发布数据显示,仍有46%的Android设备运行在Jelly Bean上,另有39.1%的用户使用KitKat。姜饼约占手机总数的7.8%,冰淇淋三明治占6.7%,佛罗约占0.4%。
IT安全和数据分析公司Rapid7的安全研究员托德·比尔兹利在Metasploit的博客文章中说,WebView应用于大约9.3亿个Android设备。多年来,研究人员发现了这个部件的许多缺陷。
“不幸的是,这对罪犯来说是个好消息,原因很简单,对真正的坏人来说,几乎所有的东西都在范围内,”他说。
Beardsley跟进Android,得到了这样的回应:
“如果受影响的版本(WebView)在4.4之前,我们通常不会自己开发补丁,而是将问题通知合作伙伴......如果补丁提供了报告或放入AOSP(Android开源项目),我们也很乐意为它们提供合作伙伴。
Android团队表示:“除了通知OEM,我们将无法对影响4.4之前没有附带补丁的版本的任何报告采取行动。
Android团队表示,其他预装KitKat的组件,如多媒体播放器,将继续获得回调的补丁。
由于Android是开源的,Beardsley指出,对于手机制造商、服务提供商零售商甚至爱好者来说,想出自己的补丁“并非不可能”。不过,他说,不可能说出这样的补丁会多久出现一次。
这位安全研究员还表示,谷歌决定不支持像JellyBean这样的旧操作系统,“似乎是一个合理的决定”,但这仍然是一个让数百万或用户脆弱的举动,因为该公司自己的每月统计数据显示,旧Android操作系统有一个巨大的安装基础。
数据还意味着,脆弱的用户可能会发现由于预算限制而难以升级到较新的系统。最新一款谷歌Nexus手机的售价约为660美元,而第一款Android手机在亚马逊上的售价低于70美元
“作为一个软件开发商,我知道支持我的软件的旧版本是一个巨大的麻烦,”Beardsley说。“我对他们削减遗留软件的决定表示同情。然而,10亿人并不依赖我的软件的旧版本来管理和保护他们生活中最私人的细节。