新闻链接：http://www.seehand.com/news/327.html
   新闻时间：2015-01-15
   新闻正文：

黑客们可以庆幸：现在展现在他们面前的是Android系统不同漏洞的整个菜单了。据了解，Google已停止发布其WebView上针对早期版本的Android的漏洞补丁。

在WebView上公布Android Jelly Bean 4.0–4.3及更早期版本漏洞的来自Rapid7的研究人员们证实，主管其可视化网页的组件已经像个筛子一样千疮百孔了。截至周三，Rapid7的黑客在Metasploit Framework里找到11个WebView漏洞，其中大多数是由专家Rafay Baloch和Joe Vennix创建的。

从第一代版本Android 4.4 (KitKat)开始，WebView获得升级，目前使用的是Chromium基本代码——正如Chrome浏览器所使用的一样。Google方面代表告诉Rapid7研究人员称，最近已收到关于老版本的Android 4.4漏洞的新报告，他们将不会再发布WebView组件的漏洞补丁，而仅会继续支持KitKat的最新版本OS——Lollipop。

据一位资深工程师托德·比尔兹利称：“在收到Rapid7的质询后，Google这样回复道，‘如果受攻击的WebView版本低于4.4，我们将不再开发自己的补丁，但我们欢迎第三方开发人员能够创建并发布安全报告。’如果安全报告涉及了不再提供漏洞补丁的低于4.4的安卓版本，除了通知OEM合作伙伴以外我们采取不了任何措施。”

也许这种情况下，推卸对OEM合作伙伴的责任意味着，Google公司采用的是仅支持OS当前版本的商业模式。目前，google照常提供Nexus设备的补丁，并与OEM制造商共同寻找更早版本的Android漏洞，但这对数以百万计的Android系统设备的用户来说只是微乎其微的安慰。

Duo Security技术总监Jon

Oberheide 评论道：“这对于易受攻击的Android版本用户来说确实是个不小的麻烦，但这个问题的责任也不能推到Google 身上，这并不是他们的错。谷歌支持的代码AOSP，刚好需要一个补丁以修补各项装置并确保OTA更新的交付，这正是Google的OEM合作伙伴和运营商所担心的。”

同时，完全依靠运营商来定期提供版本更新——这是傻瓜的差事。尽管联邦调查局对运营商和制造商不断施加压力，要求他们保证对Android系统版本的更新，但这一举措到目前为止并不是很成功。

Oberheide 进一步解释道：“很遗憾，我们过去的经验（比如X-Ray项目）证实，OEM制造商和运营商在这方面非常不可靠：他们几乎从来没有及时修复安全漏洞，许多漏洞在很长时间内都停留在未修补状态，甚至永久地将用户暴露在风险之中。”

2013年，美国联邦贸易委员会（ FTC ）严重处罚了HTC，因为其未能及时关闭Android平台的系统漏洞，导致很多人长期因此而遭受攻击、个人信息泄露，甚至在现实生活中遭受威胁和危险。双方最终达成对HTC来说非常划算的庭外和解：该公司必须制定和发布其所有设备的漏洞补丁，采用新的信息安全计划，并进行为期20年的信息审计。

同年晚些时候，美国公民自由联盟向美国联邦贸易委员会提出投诉，投诉运营商Verizon, AT&T, Sprint-Nextel和 Tmobile不愿提供Android系统平台漏洞补丁更新。在该联盟提交的一份声明中，该组织要求美国联邦贸易委员会向运营商施加压力，要求他们提醒用户注意未修补的漏洞的存在，并向用户提供终止合同而免受处罚的选择机会。

据比尔兹利称，谷歌向Rapid7宣布将不再认证AOSP浏览器的第三方设备；因此，升级到浏览器的最新版本成为确保移动设备安全性的一个必要步骤。

“从另一个角度来说，这是一个很合理的解决方案。终止早于当年版本两代以上的旧系统版本，这是开源软件发展历史上也是目前世界上的通行做法。最后，许多开发人员已经停止支持旧版本，而只保留一个最新版本；另外一些则缺乏对软件的支持时间明确的政策。”比尔兹利说。

然而，Android开发者的目前数据显示，60%的android用户使用Jelly Bean 4.3及更早版本——数量大约是930万台设备。“Android的更新策略建议，制造商和运营商应该只订阅由谷歌发布的更新，但我很难想象这个过程将会很美好，尤其是现在Google已经‘金盆洗手’”，比尔兹利说：“但这对AT ＆T和摩托罗拉应用补丁来说是不可能的，他们就从论坛中开发了大量不知名的程序员，不是吗？”

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课