|
查看: 3335|回复: 26
|
資安業者:Google不再修補Android 4.3及先前版本的漏洞,近10億用戶曝風險
[复制链接]
|
|
|
Rapid7的資安研究員Tod Beardsley向Google提報WebView漏洞時,Android安全團隊的事件處理窗口表示,如果受影響的是Android 4.4之前的版本,那麼Google一般不會再自己開發修補程式,但歡迎提報者附上修補程式。除了通知OEM業者外,Google不會再採取其他行動。
Rapid7的滲透測試研究人員Tod Beardsley指出,Google的Android安全團隊已決定不再修補Android 4.3(Jelly Bean)及之前版本的WebView漏洞,代表有超過9.3億的Android裝置用戶受到影響。
WebView是一個內建於Android中的非瀏覽器網頁檢視工具,它無法執行JavaScript,且會忽略網頁錯誤,但可以用來閱讀網頁,進行網頁的縮放或文字搜尋,若要更進階的互動功能則需呼叫瀏覽器程式。
Beardsley表示,WebView是Android裝置中用來描繪網頁的核心元件,但Google在Android 4.4(KitKat)中改用了與Chrome瀏覽器一致,以Chromium專案為基礎的WebView版本,而Google安全團隊最新政策則決定不再修補Android 4.3及之前的WebView。
但Beardsley向Google提報WebView漏洞時,Android安全團隊的事件處理窗口表示,如果受影響的是Android 4.4之前的版本,那麼Google一般不會再自己開發修補程式,但歡迎提報者附上修補程式。除了通知OEM業者外,Google不會再採取其他行動。
Beardsley說,他從沒看過一個漏洞提報專案要求提報者提供自己的修補程式,但這看起來就是Google的立場,由於太過離奇而難以相信,於是他再向Google確認,結果得到的幾乎完全一樣的答案。
根據Google所公布的Android平台版本分布狀態,目前約有39.1%的Android裝置使用Android 4.4,Android 5.0 Lollipop則比例過少而未顯示比例。代表至少還有6成的舊版Android用戶將受到影響。Beardsley引用Gartner報告推估指出,這相當於約有9.3億的Android裝置。
Beardsley表示,這對滲透測試研究人員或對駭客來說都是好事,他相信會有大量的滲透測試鎖定舊版的Android裝置,同時也會造福駭客。開放源碼社群會定期公布漏洞細節並打造攻擊程式,目的是為了引起業者與使用者的注意,並督促業者開發修補程式,不過,當漏洞被公開且業者不願修補時,使用者就會永遠受到相關漏洞的影響。
事實上,滲透測試軟體開發業者Rapid7已經推出了11款與WebView漏洞有關的攻擊程式,相關的安全臭蟲可能會陸續出現,而且將會持續好一陣子。
Beardsley指出,他知道支援舊版軟體是件很麻煩的事,也同情Google的決定,但他仍舊呼籲Google重新考慮此事,因為畢竟有近10億的使用者仍仰賴舊版Android。(編譯/陳曉莉)
來源 : ithome
---------------------------------------------------
谷歌不会对影响六成Android手机的漏洞做出修复
前段时间谷歌在微软发布修复补丁的两天前披露一项Windows漏洞之事曾经引发轩然大波,而如今谷歌也由于自家软件的更新问题而被推到了风口浪尖之上。
尽管已出现数次前车之鉴,此番Android 4.3及更早版本中的WebView组件再度曝出存在安全漏洞。WebView是一套可嵌入式浏览器控制方案,其以Android应用程序中所使用的某个WebKit渲染引擎版本作为运作基础。
Android 4.4以及5.0版本的WebView转而使用Blink而不再依赖于WebKit,因此并未受到此次事件的影响。不过根据谷歌公司自己的统计数据,约有六成Android用户仍在使用这套操作系统的4.3以及更早版本。有鉴于此,这次披露的安全漏洞将产生普遍而严重的负面影响。常规处理流程是将该漏洞报告给谷歌方面,并由谷歌开发修复补丁、随后作为Android开源项目的一部分予以发布。
然而根据Metasploit安全测试框架开发者Tod Beardsley在文章中所言,这一次情况将有所不同。虽然Android安全团队已经得到了与该问题有关的提醒,但其反馈意见却是:
如果受到影响的(WebView)版本早于4.4,我们基本上不会亲自就此开发修复补丁,但欢迎其它方面提供值得考量的补丁方案。除了通知OEM合作方之外,我们将不会对就4.4及更早版本所受影响作出说明、但未附带实际补丁的提交报告作出任何实质性处理。
谷歌公司将向各OEM合作方通报这项问题,但无意对其加以修复。在进一步追问下,Android开发团队给出了这样的回应:
如果受到影响的(WebView)版本早于4.4,我们基本上不会亲自就此开发修复补丁,但将对可能受其影响的合作伙伴发出提醒。如果相关报告中附带修复补丁或者AOSP获得相关应对代码,我们将乐于将其提供给各合作伙伴。
经过进一步核实,Android开发团队表示Android 4.3版本当中的媒体播放器等组件会接收后端补丁,但WebView却完全依托于自身。尽管目前谷歌似乎尚未给出明确的淘汰结论,但Android 4.3的WebView几乎已经在实质层面走到了生命周期的尽头。WebView控制机制在大部分Android手机上仍在发挥作用,甚至在目前在售的部分Android手机上亦继续存在,因此其缺乏支持与安全性保障的现状确实令人难以安心。
更糟糕的是,谷歌公司甚至并没有就那些得到通报或者修复的Android安全漏洞提供太多说明信息。Beardsley写道,谷歌为已修复安全漏洞准备的惟一说明就是在将对应修复补丁整合进AOSP时的提交信息。而在某项漏洞未得到修复时,此类提交信息自然也不复存在,也就相当于用户根本得不到有关该问题的任何公开记录。
当然,谷歌为Android 4.3以及更早版本提供补丁还仅仅是解决问题的第一步。OEM厂商接下来需要将补丁纳入自己的固件更新方案,移动运营商则需要验证并对这些固件更新作出进一步定制化调整,因此在实际执行过程中、仍有大量Android用户根本得不到这些修复补丁。但需要强调的是,如果没有谷歌迈出的这第一步,那么就连这一丁点解决问题的可能性都将消失殆尽。
但在过去,上述难关并没有阻挡谷歌公司开发安全更新举措的脚步; 就在去年四月,该公司还曾为Android 4.1提供过针对Heartbleed漏洞的修复补丁。OEM合作方虽然对该更新的交付作出诸多限制,但至少用户已经获得了可资选择的解决方案。而此次曝出的WebView问题则干脆不具备任何形式的应对措施。
从原则上讲,大部分运行着Android 4.3以及更早版本的手机设备都能够接收到适用于4.4甚至是5.0系统版本的大型更新,并通过这种方式实现漏洞清除。然而实际情况远没有那么乐观,各大OEM厂商往往不愿意采取此类大型更新; 根据我们对于智能手机制造商的了解,单纯出于安全修复角度的理由而指望他们采纳最新系统版本根本不切实际。当然,OEM厂商的立场也可以理解。一家移动设备制造商在通过手机发布定制化Android 4.3版本之后,往往会发现针对现有定制版本发布新的4.3版本补丁要远比更新至Android 4.4或者5.0版本更轻松。保持现有系统版本能够将变动控制在最低程度,因此对相关工作量的要求也能得到有效缩减。
谷歌公司的立场则更为复杂,因为他们根本无力对手机上的系统平台进行强制更新。正如Android手机上并不提供Windows Update,谷歌也没有能力直接将更新推送至操作系统当中; 他们必须依赖各家OEM厂商以及网络运营商,才能实现源代码变更并将其分发至用户手中。相比之下,苹果与微软都拥有能够对其移动操作系统进行直接更新的官方渠道。
事实上,谷歌惟一能够实现的就是通过Play Store基础设施对移动设备上的应用程序进行更新。在每一次推出Android新版本的同时,谷歌都会将更多功能塞进安装包当中,其中包括Google Play服务与Google Play Store等运行在核心Android操作系统之上的方案。这些安装包能够通过Play Store系统实现更新与维护,而在Android 5版本中、WebView控制机制也被纳入这一范畴。因此从现在开始,WebView组件已经能够在谷歌的直接管理下实现更新——不过在WebView仍属于核心开源Android操作系统组成部分的版本当中,这一安全问题将继续存在。顺带一提,根据谷歌自身作出的估算,目前Android 5.0的服务对象在全部Android用户当中仅占不足0.1%比例。
这种对服务以及维护机制的改进也成为谷歌将更多功能添加到APK当中——即脱离于Android操作系统之外——的重要理由。不过此类措施对于高达六成的Android用户仍然未能起到任何作用,他们每一次点击链接并通过Twitter客户端内置浏览器进行访问时、还在继续遭受严重的安全威胁。
英文原文:http://arstechnica.com/security/ ... -of-android-phones/
來源 : 51CTO
|
|
|
|
|
|
|
|
|
|
|
|
发表于 21-1-2015 12:33 AM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-1-2015 10:21 AM
|
显示全部楼层
|
忽然覺得open source OS的安全性比封閉式的差, 太多OEM廠商, 搞到Google都沒有招了, 只好逃之夭夭。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 21-1-2015 11:30 AM
|
显示全部楼层
从google这几年的举动来看, 感觉上它有组织一个team , 自行开发一个以android为基本的新封闭os , 然后推出自主手机品牌 |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-1-2015 12:00 PM
|
显示全部楼层
Google早就發現Android 碎片化會帶來產品升級的問題, 決定收緊一些自由度讓系統重要軟件封閉, 然後升級交由playstore來控制而非OEM廠商。
但是這樣對那些無法升kitkat的老手機無法照顧到, 現在我的Android 4.2手機安全性要靠一位網路陌生好心人來幫忙寫patch了。
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-1-2015 03:00 PM
|
显示全部楼层
網路有人傳受一招, 不知道是否可以閃避這個漏洞。
就是灌chrome 或者 Firefox, 然後去setting將browser的default設成chrome 或者 Firefox。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 21-1-2015 07:23 PM
|
显示全部楼层
|
不可能的啦,因為可以 root 然後刷機嘛。不會刷機是用戶自己笨。 |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-1-2015 07:46 PM
|
显示全部楼层
本帖最后由 giga97 于 21-1-2015 08:19 PM 编辑
不是全部手機尤其是2012年前出產可以有kitkat 升級, 更不用冀望lollipop了。
不懂的root的人, 反而有機會可以OTA了。
要刷機,很多時候還要先解bootloader, 難度比root還難, 要root至少還可以用一鍵root, 解bootloader稍微有閃失就可能變磚了。
很多用MTK的中國機根本就沒有人在developer custom ROM, 相信是為什麼還有50%的手機依然是ICS 和 JB的原因。
另可以參考台灣網友整理的台灣Android OS 升級資料, 很多的2013機種還卡在JB 4.3。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 21-1-2015 07:47 PM
来自手机
|
显示全部楼层
Android开始走向衰亡的征兆…  |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 21-1-2015 07:55 PM
|
显示全部楼层
本帖最后由 giga97 于 22-1-2015 07:23 PM 编辑
如果這個漏洞引發大災情, 可能是全體手機廠商得利, 因為會有換機潮。
估計windows phone在低價市場可能會獲得較大的餅。
Android 大部分中高階應該都用kitkat了,影響不大。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 22-1-2015 05:19 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
发表于 23-1-2015 04:19 PM
来自手机
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
发表于 23-1-2015 05:43 PM
|
显示全部楼层
俺用nexus 5,沒影響 |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 23-1-2015 07:28 PM
|
显示全部楼层
如果你已經用kitkat或lollipop或IOS或Symbian或windows phone, 那肯定沒關係。
如果是用Android 4.3或以下的, 也是(暫時)沒有關係。
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 23-1-2015 07:30 PM
|
显示全部楼层
以目前的趨勢看來, Android 手機要用2年以上的話, 買nexus 系列的就對了,還是親生的比較好命。 。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 23-1-2015 10:13 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 23-1-2015 10:28 PM
|
显示全部楼层
實況實說, 這個漏洞希望不會成為Android生態的一個災難。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 24-1-2015 07:32 AM
|
显示全部楼层
Android 一向都是災難的說。
基於工作需要,我 Android + iOS 都用。
iOS 可以方心給小朋友玩+下載東西。
Android 就得小心了。一給小朋友玩,不到半天就得重新刷機了。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 24-1-2015 08:31 AM
来自手机
|
显示全部楼层
本帖最后由 ck_cheong 于 24-1-2015 08:33 AM 编辑
馬拉棧 发表于 24-1-2015 07:32 AM
Android 一向都是災難的說。
基於工作需要,我 Android + iOS 都用。
我个人还是比较看好Windows 10的未来!
因为他们整合了电脑和手机所使用的系统,不像Android这样一盘散沙! |
|
|
|
|
|
|
|
|
|
|
|
发表于 24-1-2015 10:31 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
变色卡
千斤顶
3239 
62
