還沒更新最新版 Android 的用戶要小心了,根據國外資安業者 Rapid7 的報導指出,Google 將不再主動修補 Android 4.3 (Jelly Bean),以及之前版本的 WebView 漏洞,但開放舉發者附上修補程式,並會提知 OEM 廠商,而目前使用 Android 4.3 之前版本的使用者,大約占了 6 成,這也表示會有近半的 Android 用戶受到影響。
Google:不再主動開發 WebView 修補程式
Rapid7 的測試研究人員 Tod Beardsley 指出,於 Android 4.3(Jelly Bean)及之前版本使用的 WebView,是 Android 中的非瀏覽器網頁檢視工具,在 Android 裝置中用來描繪網頁的核心元件, 無法執行 JavaScript,且會忽略網頁錯誤,但允許應用程式在不開啟另一個應用程式下,顯示網頁內容,所以用來閱讀網頁沒有問題,還可進行網頁的縮放及文字搜尋。也因為具有與 Android 其他程式互動的特性,而成為攻擊者入侵時的目標。
然而,在 Beardsley 向 Google 提報 WebView 漏洞時,Android 的安全團隊負責窗口表示,在 Android 4.4(KitKat) 中已改用了與 Chrome 瀏覽器一樣,以 Chromium 為基礎的 WebView 版本,所以若是受影響的是 Android 4.4 之前的版本,Google 將不再自行開發修補程式,但歡迎舉發者可以附上相關的修補程式,也將會再通知其他 OME 廠商。
對此結果,Beardsley 表示意外,畢竟 Google 為 Android 的開發者,且預期會影響相當多的 Android 用戶,對於 Google 不再主動更新修補程式的回應,感到十分的意外,但再次向 Google 確認後,仍是得到相同的結果。
▲Android 4.4(KitKat) 中已改用了與 Chrome 瀏覽器一樣,以 Chromium 為基礎的 WebView 版本,但 Android 4.3 以前的版本,就不再主動更新安全程式。
近六成 Android 用戶受影響
不過,根據 Google 公布截至 1 月 5 日為止的 Android 平台使用狀態,在最新 Android 5.0 版本,目前使用的裝置較少,暫不列入統計的前提下,當前最多裝置使用的 Android 版本為 Android 4.4,大約占了 39.1%。換句話說,有 60.9% 的用戶是使用 Android 4.3 以上的版本,若是 Google 不再自動修補 WebView 程式的漏洞,會有 6 成以上的用戶受到影響,Beardsley 引用 Gartner報告推估指出,將相當於有 9.3 億的 Android 裝置曝於風險之中,數量其實很高。
▲根據 Google 的統計,目前使用 Android 4.4 版本的裝置大約為 39.1%,有 60.9% 的用戶是使用 Android 4.3 以上的版本。
參考資料:Rapid7、Developer
延伸閱讀:
為什麼你的 Android 無法獲得升級?SoC 廠商才是關鍵因素
首款 Android 5.0 平板電腦 Google Nexus 9 動手玩
Half-Life 2移植Android平台,SHIELD、PC遊戲畫質實測
實測怎麼在電腦 Chrome瀏覽器執行 Android App ?
關於 Android L 的五個冷知識,到底還有什麼是我們不知道的
留言列表
留言列表
