北京時(shí)間1月13日早間消息，一位安全專(zhuān)家表示，谷歌已經(jīng)停止為Android 4.4“奇巧”以前版本的系統修補核心組件漏洞。他呼吁該公司重新考慮這一政策，因為此舉會(huì )導致60%的Android用戶(hù)面臨潛在威脅。

本周一，安全廠(chǎng)商Rapid7工程經(jīng)理托德·比爾茲利(Tod Beardsley)表示，谷歌安全團隊宣布將不會(huì )修復Android 4.3“果凍豆”或更早版本系統中的WebView漏洞。

WebView是一個(gè)操作系統核心組件，用于支持“果凍豆”中的Android瀏覽器(谷歌在“奇巧”系統中用Chrome取代了這款瀏覽器)，而在奇巧及更早版本的系統中還可以被顯示網(wǎng)頁(yè)的應用調用。

“所有應用都會(huì )用WebView來(lái)渲染網(wǎng)頁(yè)或基于網(wǎng)頁(yè)的內容，例如應用內置廣告?！北葼柶澙f(shuō)，“WebView是Android的一個(gè)攻擊途徑，這是Android與互聯(lián)網(wǎng)溝通的渠道。如果我是攻擊者，我會(huì )在網(wǎng)站上找到利用WebView的方法，然后引誘人們點(diǎn)擊?！?

比爾茲利表示，他在去年10月中旬向谷歌提交了一個(gè)與WebView有關(guān)的漏洞后，收到的回復是：“我們不再修補WebView漏洞?！倍潭虄芍芮?，谷歌還曾迅速修補了類(lèi)似的漏洞。

比爾茲利對這一做法感到震驚。但谷歌并未對此置評。

比爾茲利指出，Android擁有龐大的裝機量，而受此影響的用戶(hù)在A(yíng)ndroid裝機量中的占比超過(guò)60%。他還批評谷歌沒(méi)有明確表示將支持或不支持“果凍豆”的哪些組件。

事實(shí)上，蘋(píng)果也曾遭遇過(guò)類(lèi)似的指控，因為該公司并沒(méi)有明確透露各個(gè)版本的OS X和iOS系統將獲得多長(cháng)時(shí)間的支持。雖然iOS并沒(méi)有明確支持時(shí)限，而蘋(píng)果也很少為舊版iOS修補漏洞，而是告知用戶(hù)盡快升級，但該公司通常都會(huì )支持好幾代采用最新版iOS系統的設備。

但蘋(píng)果與谷歌在系統升級或更新時(shí)存在顯著(zhù)差異，前者直接提供給用戶(hù)，而后者卻無(wú)法做到，導致大量Android用戶(hù)依然采用舊版系統。

比爾茲利還指出，谷歌并沒(méi)有對“果凍豆”的所有組件采取相同的政策。例如，當Android安全團隊收到“果凍豆”音樂(lè )播放器的漏洞報告時(shí)，他們就會(huì )進(jìn)行修補?！斑@種對不同組件的差異對待將令人困惑?！彼f(shuō)。

這會(huì )造成部分Android廠(chǎng)商為用戶(hù)修復WebView漏洞，但其他廠(chǎng)商卻不會(huì )。谷歌表示，雖然該公司不會(huì )親自修補這類(lèi)漏洞，但卻可以接受第三方的補丁，包括設備廠(chǎng)商、運營(yíng)商甚至安全公司。

比爾茲利稱(chēng)，他目前還不清楚是否有廠(chǎng)商修補了他發(fā)現的WebView漏洞。但他還是強烈呼吁谷歌重新考慮這一政策。