谷歌停止修补旧版Android漏洞 60%用户面临威胁 _漏洞

北京时间1月13日早间消息，有安全专家表示，谷歌已停止修补安卓4.4“KitKat”系统核心组件漏洞。他呼吁该公司重新考虑这一政策，因为这将导致60%的安卓用户面临潜在威胁。

周一，安全供应商Rapid7的工程经理TodBeardsley表示，谷歌安全团队宣布不会修复Android4.3“果冻豆”或更早版本中的WebView漏洞。

【谷歌停止修补旧版Android漏洞 60%用户面临威胁】 WebView是操作系统的核心组件，用来支持果冻豆中的安卓浏览器(在KitKat系统中谷歌用Chrome替换了这个浏览器)，在KitKat及更早的系统中显示网页的应用程序也可以调用它。

所有应用程序都使用网络视图来呈现网页或基于网络的内容，如应用程序内广告比尔兹利说，“WebView是安卓的一种攻击方式，是安卓与互联网的沟通渠道。如果我是攻击者，我会想办法在网站上使用WebView，然后引诱人们点击。”

比尔兹利说，去年10月中旬他向谷歌提交了一个与WebView相关的漏洞后，得到的回复是：“我们不会修复WebView漏洞。”就在两周前，谷歌迅速修复了一个类似的漏洞。

比尔兹利对这种做法感到震惊。但谷歌没有对此发表评论。

比尔兹利指出，安卓的装机量巨大，受此影响的用户占安卓装机量的60%以上。他还批评谷歌没有明确指出它将支持或不支持“果冻豆”的哪些成分。

事实上，苹果也遇到了类似的指控，因为该公司没有明确披露OSX和iOS的每个版本将支持多长时间。虽然iOS没有明确支持时限，苹果也很少针对旧版iOS修复漏洞，而是告诉用户尽快升级，但公司通常会用最新版本的iOS支持几代设备。

然而，苹果和谷歌在升级或更新系统时有很大的不同。前者是直接提供给用户的，后者则不能，导致大量安卓用户还在使用旧系统。

比尔兹利还指出，谷歌并没有对果冻豆的所有成分采取相同的政策。比如安卓安全团队收到“果冻豆”音乐播放器的漏洞报告后，会进行修复。"这种对不同成分的区别对待会令人困惑."他说。

这将导致一些安卓厂商为用户修复WebView漏洞，但其他厂商不会。谷歌表示，虽然不会亲自修复此类漏洞，但可以接受来自第三方的补丁，包括设备制造商、运营商甚至安全公司。

比尔兹利说，他仍然不清楚是否有供应商修复了他发现的网络视图漏洞。但他仍强烈敦促谷歌重新考虑这一政策。

谷歌停止修补旧版Android漏洞 60%用户面临威胁