W.L. 發表於 2015年1月15日 00:05 收藏此文

  • 4048d9b77be5889116d62de1c3bcfd0d還沒更新最新版 Android 的用戶要小心了,根據國外資安業者 Rapid7 的報導指出,Google 將不再主動修補 Android 4.3 (Jelly Bean),以及之前版本的 WebView 漏洞,但開放舉發者附上修補程式,並會提知 OEM 廠商,而目前使用 Android 4.3 之前版本的使用者,大約占了 6 成,這也表示會有近半的 Android 用戶受到影響。

Google:不再主動開發 WebView 修補程式

Rapid7 的測試研究人員 Tod Beardsley 指出,於 Android 4.3(Jelly Bean)及之前版本使用的 WebView,是 Android 中的非瀏覽器網頁檢視工具,在 Android 裝置中用來描繪網頁的核心元件, 無法執行 JavaScript,且會忽略網頁錯誤,但允許應用程式在不開啟另一個應用程式下,顯示網頁內容,所以用來閱讀網頁沒有問題,還可進行網頁的縮放及文字搜尋。也因為具有與 Android 其他程式互動的特性,而成為攻擊者入侵時的目標。

然而,在 Beardsley 向 Google 提報 WebView 漏洞時,Android 的安全團隊負責窗口表示,在 Android 4.4(KitKat) 中已改用了與 Chrome 瀏覽器一樣,以 Chromium 為基礎的 WebView 版本,所以若是受影響的是 Android 4.4 之前的版本,Google 將不再自行開發修補程式,但歡迎舉發者可以附上相關的修補程式,也將會再通知其他 OME 廠商。

對此結果,Beardsley 表示意外,畢竟 Google 為 Android 的開發者,且預期會影響相當多的 Android 用戶,對於 Google 不再主動更新修補程式的回應,感到十分的意外,但再次向 Google 確認後,仍是得到相同的結果。

▲Android 4.4(KitKat) 中已改用了與 Chrome 瀏覽器一樣,以 Chromium 為基礎的 WebView 版本,但 Android 4.3 以前的版本,就不再主動更新安全程式。

近六成 Android 用戶受影響

不過,根據 Google 公布截至 1 月 5 日為止的 Android 平台使用狀態,在最新 Android 5.0 版本,目前使用的裝置較少,暫不列入統計的前提下,當前最多裝置使用的 Android 版本為 Android 4.4,大約占了 39.1%。換句話說,有 60.9% 的用戶是使用 Android 4.3 以上的版本,若是 Google 不再自動修補 WebView 程式的漏洞,會有 6 成以上的用戶受到影響,Beardsley 引用 Gartner報告推估指出,將相當於有 9.3 億的 Android 裝置曝於風險之中,數量其實很高。

▲根據 Google 的統計,目前使用 Android 4.4 版本的裝置大約為 39.1%,有 60.9% 的用戶是使用 Android 4.3 以上的版本。

文章標籤
創作者介紹

My Life生活資訊通

ads89mih 發表在 痞客邦 PIXNET 留言(0) 人氣()