没有安装最新版Android系统的手机用户，或许会在 2015 年收到恶意黑客们的大礼。这是因为旧版Android系统中的核心组成部分之一，不再获得来自Google的安全更新。
在没有公开警告受影响的 9.39 亿用户的情况下，Google决定停止向Android 4.3 及以下版本发布 WebView 工具的安全更新。这意味着有近三分之二的Android用户无法获得Google的安全支持。
WebView是什么？

WebView允许应用在不打开另一个应用的情况下显示网页。许多应用和广告网络使用这一工具，甚至连Google Android团队也在其开发者文档网页渲染部分推荐使用该工具。Rapid7 工程经理 Tod Beardsley 表示，WebView也是针对Android的远程代码执行漏洞攻击所优先考虑的地方，它对Android来说就像 Windows的 IE浏览器，都是攻击者们入侵时最喜欢针对的目标。
攻击者喜欢WebView，是因为它能与Android其他组成部分互动。安全咨询师 Justin Clarke说道：“支持网络技术以及 PhoneGap 等框架可以调用原生手机功能，是攻击者针对WebView 工具入侵手机的主要原因之一。”
Android系统和 WebView 工具中不断出现安全漏洞，使得缺乏更新的危险程度更高。Rapid7 在其入侵测试工具包 Metasploit 中加入了无数漏洞利用方式。最新版 Metasploit 中包含了 11 种不同的 WebView 利用方式，白帽子和黑帽子们都可以轻易地利用这一工具来入侵Android系统。
报告漏洞还要附带补丁，前所未闻

事实上，Google从去年末开始就打算停止安全更新的支持。Android安全团队成员在回复一次漏洞警告时表示：“如果 WebView受影响的版本低于4.4，我们通常不会自行开发补丁，不过我们欢迎其他人提交补丁以供参考。任何涉及 4.4 版本之前的安全漏洞报告如果没有附带补丁，除了通知 OEM 厂商外，我们也无能为力。”
也就是说，如果其他人不仅发现了问题还提供解决方案的话，Google可能会向 4.4 版本之前的Android系统推送 WebView 补丁。Google要求第三方研究人员在递交漏洞报告时，提交补丁，这种做法前所未有。
Android是开源项目，从技术上讲，任何人都能制作补丁，但这些补丁通过三星或 LG 等设备制造商分发的机会“近乎于零”。
10亿用户受牵连

此举或与Google决定在Android 5.0 中“取消绑定”WebView有关。“取消绑定”后，用户可以单独通过Google Play自动更新WebView。但更早之前版本的Android系统并不能这么做，要知道，只有不到 0.1% 的Android用户升级到了 5.0。
也许不到 0.1% 的Android 5.0用户会享受通过 Play商店升级WebView 所带来的进步，但另外99.9% 的用户却不能获得浏览器补丁，如果有这个补丁的话。0

尽管Google可以简单地建议用户升级到 4.4 版本及以上，但不能否认的是，大部分Android用户由于缺少 WebView 支持将面临更高的安全风险。根据Google的数据，目前Android手机数已达 15.624 亿部，其中有 60.1% 的手机运行 4.4 版本以下的Android系统，也就是说这一决定会影响 9.39 亿用户。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课