压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

擁有20多億用戶的安卓系統需要守護的設備太多了。但一個存在了5年之久的高危漏洞提醒人們：安卓令人驚嘆的開源代碼覆蓋面也給去中心化生態系統防護帶來了挑戰。

該漏洞由威脅檢測公司 Positive Technologies 移動安全研究員 Sergey Toshin 發現，源于 Chrome 和很多其他瀏覽器的支撐開源項目 Chromium。因此，攻擊目標不僅僅是移動 Chrome，基于 Chromium 的其他流行移動瀏覽器都在打擊范圍內。更具體講，凡是帶有 WebView功能的安卓機都受到Chromium的支持，用戶點擊游戲或社交網絡中的鏈接時，WebView 功能可在某種迷你瀏覽器中加載這些網頁，讓用戶無需離開原應用。利用 Chromium 漏洞，黑客可以用 WebView 劫掠用戶數據并取得廣泛的設備訪問權。

攻擊者可對安卓設備上的任意Chromium系手機瀏覽器發起襲擊，包括谷歌Chrome、三星Internet瀏覽器和Yandex瀏覽器，從其WebView中抽取數據。

更糟的是，自2013年的 4.4 KitKat 起，后續所有安卓版本都含有該漏洞。4.4 KitKat 是首個可以監聽“Ok Google”和在谷歌鍵盤上納入表情符號的安卓版本，情況真的很嚴重。

絕大多數情況下，幾乎不可能檢測出來。

通過誘騙用戶安裝含有WebView的惡意軟件并利用該漏洞，攻擊者可獲得對受害者設備最可靠、最持久的訪問。但Toshin指出，攻擊者還能利用該漏洞獲得一些不恰當的設備訪問權限，方法就是誘使用戶點擊通過安卓即時應用( Instant App )功能打開的惡意鏈接。即時應用功能使用戶無需實際安裝就能立即執行某應用。這種情況下，攻擊者不會擁有持久訪問權，但能獲得有限的時間窗口來捕獲用戶數據或其移動賬戶信息。無論如何，這些攻擊方法都悄無聲息，毫不引人注目。

今年1月時，Positive Technologies 就將漏洞情況通報給了谷歌，當月末，谷歌就在 Chrome 72 中修復了該漏洞。運行安卓7及其后續版本的設備應可經由通用Chrome更新獲得修復，但運行安卓5和6的設備就得通過Google Play安裝WebView的特別更新了。開啟了自動更新的安卓用戶無需多費心神。若未開啟，就只有自行安裝了。

Toshin和谷歌都表示，沒有內置 Google Play 的安卓設備，比如亞馬遜Kindle，需要設備制造商發布專用補丁。這正是安卓繽紛多彩的生態系統給設備修復帶來的特殊麻煩。

谷歌還指出，因為安卓4.4發布已經超過5年，且只運行在一小部分設備上，該公司沒有為此版安卓發布補丁。但谷歌自己的數據表明，有7.6%的安卓設備還運行的是KitKat。考慮到20億用戶的總量，7.6%就是1.52億，比當前版本安卓 Oreo 8.1 的7.5%還多。

谷歌一直在提升其跨設備補丁推送的能力，最小化不同制造商實現導致的障礙。但這方面需要做的工作還很多。且因為安卓應用面十分寬廣，世界各地無論貧富與產業差別都在用，現實就是老版本安卓仍將存在很長時間。