9.3億多安卓手機(jī)失去谷歌官方安全保護(hù)

Android處于危險之中

安全專家Todd Bearsley在Rapid7 Security Street上發(fā)布了一篇有趣的博文，文中解釋說目前Metasploit框架中包含11種針對WebView的不同漏洞利用程序。

“WebView是Android設(shè)備中用于渲染web頁面的核心組件。在Android KitKat（4.4）中該組件被另一個基于Chromium的WebView所替代，而谷歌的Chrome瀏覽器使用的也正是該組件�！�

安全社區(qū)意識到舊版本Android系統(tǒng)中的WebView組件非常脆弱。就在1年前，Rapid 7 發(fā)布了“exploit/android/browser/webview_addjavascriptinterface”模塊，該模塊使得攻擊者能夠遠(yuǎn)程訪問大多數(shù)Android設(shè)備。

放棄老版本，谷歌不再提供安全支持

壞消息是，目前在用戶使用的Android設(shè)備中，約60%仍舊依賴于包含漏洞的WebView組件；更壞的消息是谷歌以后將不再修復(fù)WebView漏洞，Android4.4之前的所有版本都會受該漏洞的影響。好消息是，谷歌將接受由研究社區(qū)提供的漏洞補(bǔ)丁，并會將新發(fā)現(xiàn)的漏洞及時通知給OEM合作伙伴。

在收到Android4.4之前版本的WebView漏洞的報告時，安卓安全團(tuán)隊給出了這樣的回復(fù)：

如果受影響的版本（WebView）是在Android4.4之前，那么我們通常不親自開發(fā)補(bǔ)丁，但歡迎你們開發(fā)補(bǔ)丁并提供相關(guān)報告。除了通知OEM方，我們將不會采取任何措施來應(yīng)對該漏洞。

然而，即使谷歌將有關(guān)新漏洞的消息通知給OEM方，大規(guī)模的漏洞補(bǔ)丁管理仍然需要花費(fèi)很長的時間，所以在補(bǔ)丁發(fā)布之前，60%的最終用戶仍然處于危險之中。

同時有一點(diǎn)必須考慮，那就是不同的手機(jī)廠商都會發(fā)布他們自己定制的Android系統(tǒng)（OEM），通常這些定制系統(tǒng)中會包含一些輔助功能和第三方應(yīng)用。

根據(jù)谷歌發(fā)布的數(shù)據(jù)，雖然自從2013年10月份就已發(fā)布Android4.4系統(tǒng)，但是約60%的移動用戶仍然使用的是4.4之前的系統(tǒng)版本，使得這些用戶無形中暴露在被攻擊的危險之中。

由Gartner和《華爾街日報》給出的有關(guān)智能手機(jī)分布數(shù)據(jù)表明，超過9.3億的Android手機(jī)現(xiàn)在失去了谷歌官方安全補(bǔ)丁的支持。

我們還必須考慮到，供應(yīng)商和網(wǎng)絡(luò)提供商很少會開發(fā)、測試補(bǔ)丁并修復(fù)舊版本中的漏洞，而是更加希望Android手機(jī)用戶升級設(shè)備。

我個人認(rèn)為這跟谷歌不能控制整個Android系統(tǒng)升級供應(yīng)鏈有關(guān)；另一個原因是日益增加的網(wǎng)絡(luò)威脅已經(jīng)瞄準(zhǔn)了移動行業(yè)，并且這種威脅更加復(fù)雜。

與谷歌不同的是，蘋果和微軟這種公司對他們的移動操作系統(tǒng)的部署和升級都擁有直接的控制權(quán)。

Android安全形式嚴(yán)峻

Bearsley也提供了一個有趣的“升級經(jīng)濟(jì)”現(xiàn)象。根據(jù)市場上手機(jī)價格的不同，我們本來會有很多選擇。但不幸的是，大部分用戶付不起升級手機(jī)的費(fèi)用，所以沒有其他選擇，只能買上市已久的Android手機(jī)。

“除了手機(jī)系統(tǒng)的安裝基礎(chǔ)，我認(rèn)為目前使用Android4.4之前版本的用戶很可能是沒有足夠的經(jīng)濟(jì)支撐來升級到Android最新版本。最新的谷歌Nexus零售價約為660美元，而亞馬遜上第一款A(yù)ndroid手機(jī)的零售價才70美元。兩者的差價將近10倍，這就意味著兩個差別非常大的用戶基礎(chǔ)：一個是不介意花費(fèi)幾百美元來買一個新手機(jī)，另一個則是買不起價格超過100美元的手機(jī)。所有加在一起，則有約2/3的用戶基本沒有經(jīng)濟(jì)能力去升級自己的移動設(shè)備，也就意味著舊有Android手機(jī)中的漏洞利用將會持續(xù)很長時間�！�

安全研究人員已經(jīng)發(fā)現(xiàn)針對移動平臺的攻擊越來越頻繁，并且利用Android設(shè)備漏洞的在線工具和平臺也越來越多。