首页
社区
课程
招聘
GOOGLE停止发布针对旧版本Android的补丁
发表于: 2015-1-16 14:00 1662

GOOGLE停止发布针对旧版本Android的补丁

2015-1-16 14:00
1662
新闻链接:http://www.seehand.com/news/327.html
   新闻时间:2015-01-15
   新闻正文:

黑客们可以庆幸:现在展现在他们面前的是Android系统不同漏洞的整个菜单了。据了解,Google已停止发布其WebView上针对早期版本的Android的漏洞补丁。

在WebView上公布Android Jelly Bean 4.0–4.3及更早期版本漏洞的来自Rapid7的研究人员们证实,主管其可视化网页的组件已经像个筛子一样千疮百孔了。截至周三,Rapid7的黑客在Metasploit Framework里找到11个WebView漏洞,其中大多数是由专家Rafay Baloch和Joe Vennix创建的。

从第一代版本Android 4.4 (KitKat)开始,WebView获得升级,目前使用的是Chromium基本代码——正如Chrome浏览器所使用的一样。Google方面代表告诉Rapid7研究人员称,最近已收到关于老版本的Android 4.4漏洞的新报告,他们将不会再发布WebView组件的漏洞补丁,而仅会继续支持KitKat的最新版本OS——Lollipop。

据一位资深工程师托德·比尔兹利称:“在收到Rapid7的质询后,Google这样回复道,‘如果受攻击的WebView版本低于4.4,我们将不再开发自己的补丁,但我们欢迎第三方开发人员能够创建并发布安全报告。’如果安全报告涉及了不再提供漏洞补丁的低于4.4的安卓版本,除了通知OEM合作伙伴以外我们采取不了任何措施。”

也许这种情况下,推卸对OEM合作伙伴的责任意味着,Google公司采用的是仅支持OS当前版本的商业模式。目前,google照常提供Nexus设备的补丁,并与OEM制造商共同寻找更早版本的Android漏洞,但这对数以百万计的Android系统设备的用户来说只是微乎其微的安慰。

Duo Security技术总监Jon

Oberheide 评论道:“这对于易受攻击的Android版本用户来说确实是个不小的麻烦,但这个问题的责任也不能推到Google 身上,这并不是他们的错。谷歌支持的代码AOSP,刚好需要一个补丁以修补各项装置并确保OTA更新的交付,这正是Google的OEM合作伙伴和运营商所担心的。”

同时,完全依靠运营商来定期提供版本更新——这是傻瓜的差事。尽管联邦调查局对运营商和制造商不断施加压力,要求他们保证对Android系统版本的更新,但这一举措到目前为止并不是很成功。

Oberheide 进一步解释道:“很遗憾,我们过去的经验(比如X-Ray项目)证实,OEM制造商和运营商在这方面非常不可靠:他们几乎从来没有及时修复安全漏洞,许多漏洞在很长时间内都停留在未修补状态,甚至永久地将用户暴露在风险之中。”

2013年,美国联邦贸易委员会( FTC )严重处罚了HTC,因为其未能及时关闭Android平台的系统漏洞,导致很多人长期因此而遭受攻击、个人信息泄露,甚至在现实生活中遭受威胁和危险。双方最终达成对HTC来说非常划算的庭外和解:该公司必须制定和发布其所有设备的漏洞补丁,采用新的信息安全计划,并进行为期20年的信息审计。

同年晚些时候,美国公民自由联盟向美国联邦贸易委员会提出投诉,投诉运营商Verizon, AT&T, Sprint-Nextel和 Tmobile不愿提供Android系统平台漏洞补丁更新。在该联盟提交的一份声明中,该组织要求美国联邦贸易委员会向运营商施加压力,要求他们提醒用户注意未修补的漏洞的存在,并向用户提供终止合同而免受处罚的选择机会。

据比尔兹利称,谷歌向Rapid7宣布将不再认证AOSP浏览器的第三方设备;因此,升级到浏览器的最新版本成为确保移动设备安全性的一个必要步骤。

“从另一个角度来说,这是一个很合理的解决方案。终止早于当年版本两代以上的旧系统版本,这是开源软件发展历史上也是目前世界上的通行做法。最后,许多开发人员已经停止支持旧版本,而只保留一个最新版本;另外一些则缺乏对软件的支持时间明确的政策。”比尔兹利说。

然而,Android开发者的目前数据显示,60%的android用户使用Jelly Bean 4.3及更早版本——数量大约是930万台设备。“Android的更新策略建议,制造商和运营商应该只订阅由谷歌发布的更新,但我很难想象这个过程将会很美好,尤其是现在Google已经‘金盆洗手’”,比尔兹利说:“但这对AT &T和摩托罗拉应用补丁来说是不可能的,他们就从论坛中开发了大量不知名的程序员,不是吗?”

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//