压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　面對越來越多基于Android（安卓）系統開發的手機，當前谷歌已經無力直接控制Android設備的安全升級了，這種情況會導致約60%的Android手機處于在安全風險中。

　　Android處于危險之中

　　安全專家Todd Bearsley在Rapid7 Security Street上發布了一篇有趣的博文，文中解釋說目前Metasploit框架中包含11種針對WebView的不同漏洞利用程序。

　　“WebView是Android設備中用于渲染web頁面的核心組件。在Android KitKat（4.4）中該組件被另一個基于Chromium的WebView所替代，而谷歌的Chrome瀏覽器使用的也正是該組件。”

　　安全社區意識到舊版本Android系統中的WebView組件非常脆弱。就在1年前，Rapid 7 發布了“exploit/android/browser/webview_addjavascriptinterface”模塊，該模塊使得攻擊者能夠遠程訪問大多數Android設備。

　　放棄老版本，谷歌不再提供安全支持

　　壞消息是，目前在用戶使用的Android設備中，約60%仍舊依賴于包含漏洞的WebView組件；更壞的消息是谷歌以后將不再修復WebView漏洞，Android4.4之前的所有版本都會受該漏洞的影響。好消息是，谷歌將接受由研究社區提供的漏洞補丁，并會將新發現的漏洞及時通知給OEM合作伙伴。

　　在收到Android4.4之前版本的WebView漏洞的報告時，安卓安全團隊給出了這樣的回復：

　　如果受影響的版本（WebView）是在Android4.4之前，那么我們通常不親自開發補丁，但歡迎你們開發補丁并提供相關報告。除了通知OEM方，我們將不會采取任何措施來應對該漏洞。

　　然而，即使谷歌將有關新漏洞的消息通知給OEM方，大規模的漏洞補丁管理仍然需要花費很長的時間，所以在補丁發布之前，60%的最終用戶仍然處于危險之中。

　　同時有一點必須考慮，那就是不同的手機廠商都會發布他們自己定制的Android系統（OEM），通常這些定制系統中會包含一些輔助功能和第三方應用。

　　根據谷歌發布的數據，雖然自從2013年10月份就已發布Android4.4系統，但是約60%的移動用戶仍然使用的是4.4之前的系統版本，使得這些用戶無形中暴露在被攻擊的危險之中。

　　由Gartner和《華爾街日報》給出的有關智能手機分布數據表明，超過9.3億的Android手機現在失去了谷歌官方安全補丁的支持。

　　我們還必須考慮到，供應商和網絡提供商很少會開發、測試補丁并修復舊版本中的漏洞，而是更加希望Android手機用戶升級設備。

　　我個人認為這跟谷歌不能控制整個Android系統升級供應鏈有關；另一個原因是日益增加的網絡威脅已經瞄準了移動行業，并且這種威脅更加復雜。

　　與谷歌不同的是，蘋果和微軟這種公司對他們的移動操作系統的部署和升級都擁有直接的控制權。

　　Android安全形式嚴峻

　　Bearsley也提供了一個有趣的“升級經濟”現象。根據市場上手機價格的不同，我們本來會有很多選擇。但不幸的是，大部分用戶付不起升級手機的費用，所以沒有其他選擇，只能買上市已久的Android手機。

　　“除了手機系統的安裝基礎，我認為目前使用Android4.4之前版本的用戶很可能是沒有足夠的經濟支撐來升級到Android最新版本。最新的谷歌Nexus零售價約為660美元，而亞馬遜上第一款Android手機的零售價才70美元。兩者的差價將近10倍，這就意味著兩個差別非常大的用戶基礎：一個是不介意花費幾百美元來買一個新手機，另一個則是買不起價格超過100美元的手機。所有加在一起，則有約2/3的用戶基本沒有經濟能力去升級自己的移動設備，也就意味著舊有Android手機中的漏洞利用將會持續很長時間。”

　　安全研究人員已經發現針對移動平臺的攻擊越來越頻繁，并且利用Android設備漏洞的在線工具和平臺也越來越多。

　　我們希望谷歌能夠重新考慮為舊有的Android手機提供安全支持，因為用戶的安全是我們所有人的責任。