北京時(shí)間1月13日早間消息，一位安全專家表示，谷歌已經(jīng)停止為Android 4.4“奇巧”以前版本的系統(tǒng)修補(bǔ)核心組件漏洞。他呼吁該公司重新考慮這一政策，因?yàn)榇伺e會(huì)導(dǎo)致60%的Android用戶面臨潛在威脅。

本周一，安全廠商Rapid7工程經(jīng)理托德·比爾茲利(Tod Beardsley)表示，谷歌安全團(tuán)隊(duì)宣布將不會(huì)修復(fù)Android 4.3“果凍豆”或更早版本系統(tǒng)中的WebView漏洞。

WebView是一個(gè)操作系統(tǒng)核心組件，用于支持“果凍豆”中的Android瀏覽器(谷歌在“奇巧”系統(tǒng)中用Chrome取代了這款瀏覽器)，而在奇巧及更早版本的系統(tǒng)中還可以被顯示網(wǎng)頁(yè)的應(yīng)用調(diào)用。

“所有應(yīng)用都會(huì)用WebView來(lái)渲染網(wǎng)頁(yè)或基于網(wǎng)頁(yè)的內(nèi)容，例如應(yīng)用內(nèi)置廣告?！北葼柶澙f(shuō)，“WebView是Android的一個(gè)攻擊途徑，這是Android與互聯(lián)網(wǎng)溝通的渠道。如果我是攻擊者，我會(huì)在網(wǎng)站上找到利用WebView的方法，然后引誘人們點(diǎn)擊?！?

比爾茲利表示，他在去年10月中旬向谷歌提交了一個(gè)與WebView有關(guān)的漏洞后，收到的回復(fù)是：“我們不再修補(bǔ)WebView漏洞。”而短短兩周前，谷歌還曾迅速修補(bǔ)了類似的漏洞。

比爾茲利對(duì)這一做法感到震驚。但谷歌并未對(duì)此置評(píng)。

比爾茲利指出，Android擁有龐大的裝機(jī)量，而受此影響的用戶在Android裝機(jī)量中的占比超過(guò)60%。他還批評(píng)谷歌沒(méi)有明確表示將支持或不支持“果凍豆”的哪些組件。

事實(shí)上，蘋果也曾遭遇過(guò)類似的指控，因?yàn)樵摴静](méi)有明確透露各個(gè)版本的OS X和iOS系統(tǒng)將獲得多長(zhǎng)時(shí)間的支持。雖然iOS并沒(méi)有明確支持時(shí)限，而蘋果也很少為舊版iOS修補(bǔ)漏洞，而是告知用戶盡快升級(jí)，但該公司通常都會(huì)支持好幾代采用最新版iOS系統(tǒng)的設(shè)備。

但蘋果與谷歌在系統(tǒng)升級(jí)或更新時(shí)存在顯著差異，前者直接提供給用戶，而后者卻無(wú)法做到，導(dǎo)致大量Android用戶依然采用舊版系統(tǒng)。

比爾茲利還指出，谷歌并沒(méi)有對(duì)“果凍豆”的所有組件采取相同的政策。例如，當(dāng)Android安全團(tuán)隊(duì)收到“果凍豆”音樂(lè)播放器的漏洞報(bào)告時(shí)，他們就會(huì)進(jìn)行修補(bǔ)?！斑@種對(duì)不同組件的差異對(duì)待將令人困惑?！彼f(shuō)。

這會(huì)造成部分Android廠商為用戶修復(fù)WebView漏洞，但其他廠商卻不會(huì)。谷歌表示，雖然該公司不會(huì)親自修補(bǔ)這類漏洞，但卻可以接受第三方的補(bǔ)丁，包括設(shè)備廠商、運(yùn)營(yíng)商甚至安全公司。

比爾茲利稱，他目前還不清楚是否有廠商修補(bǔ)了他發(fā)現(xiàn)的WebView漏洞。但他還是強(qiáng)烈呼吁谷歌重新考慮這一政策。