前段时间谷歌在微软发布修复补丁的两天前披露一项Windows漏洞之事曾经引发轩然大波,而如今谷歌也由于自家软件的更新问题而被推到了风口浪尖之上。
尽管已出现数次前车之鉴,此番Android 4.3及更早版本中的WebView组件再度曝出存在安全漏洞。WebView是一套可嵌入式浏览器控制方案,其以Android应用程序中所使用的某个WebKit渲染引擎版本作为运作基础。
Android 4.4以及5.0版本的WebView转而使用Blink而不再依赖于WebKit,因此并未受到此次事件的影响。不过根据谷歌公司自己的统计数据,约有六成Android用户仍在使用这套操作系统的4.3以及更早版本。有鉴于此,这次披露的安全漏洞将产生普遍而严重的负面影响。常规处理流程是将该漏洞报告给谷歌方面,并由谷歌开发修复补丁、随后作为Android开源项目的一部分予以发布。
然而根据Metasploit安全测试框架开发者Tod Beardsley在文章中所言,这一次情况将有所不同。虽然Android安全团队已经得到了与该问题有关的提醒,但其反馈意见却是:
如果受到影响的(WebView)版本早于4.4,我们基本上不会亲自就此开发修复补丁,但欢迎其它方面提供值得考量的补丁方案。除了通知OEM合作方之外,我们将不会对就4.4及更早版本所受影响作出说明、但未附带实际补丁的提交报告作出任何实质性处理。
谷歌公司将向各OEM合作方通报这项问题,但无意对其加以修复。在进一步追问下,Android开发团队给出了这样的回应:
如果受到影响的(WebView)版本早于4.4,我们基本上不会亲自就此开发修复补丁,但将对可能受其影响的合作伙伴发出提醒。如果相关报告中附带修复补丁或者AOSP获得相关应对代码,我们将乐于将其提供给各合作伙伴。
经过进一步核实,Android开发团队表示Android 4.3版本当中的媒体播放器等组件会接收后端补丁,但WebView却完全依托于自身。尽管目前谷歌似乎尚未给出明确的淘汰结论,但Android 4.3的WebView几乎已经在实质层面走到了生命周期的尽头。WebView控制机制在大部分Android手机上仍在发挥作用,甚至在目前在售的部分Android手机上亦继续存在,因此其缺乏支持与安全性保障的现状确实令人难以安心。
更糟糕的是,谷歌公司甚至并没有就那些得到通报或者修复的Android安全漏洞提供太多说明信息。Beardsley写道,谷歌为已修复安全漏洞准备的惟一说明就是在将对应修复补丁整合进AOSP时的提交信息。而在某项漏洞未得到修复时,此类提交信息自然也不复存在,也就相当于用户根本得不到有关该问题的任何公开记录。
当然,谷歌为Android 4.3以及更早版本提供补丁还仅仅是解决问题的***步。OEM厂商接下来需要将补丁纳入自己的固件更新方案,移动运营商则需要验证并对这些固件更新作出进一步定制化调整,因此在实际执行过程中、仍有大量Android用户根本得不到这些修复补丁。但需要强调的是,如果没有谷歌迈出的这***步,那么就连这一丁点解决问题的可能性都将消失殆尽。
但在过去,上述难关并没有阻挡谷歌公司开发安全更新举措的脚步; 就在去年四月,该公司还曾为Android 4.1提供过针对Heartbleed漏洞的修复补丁。OEM合作方虽然对该更新的交付作出诸多限制,但至少用户已经获得了可资选择的解决方案。而此次曝出的WebView问题则干脆不具备任何形式的应对措施。
从原则上讲,大部分运行着Android 4.3以及更早版本的手机设备都能够接收到适用于4.4甚至是5.0系统版本的大型更新,并通过这种方式实现漏洞清除。然而实际情况远没有那么乐观,各大OEM厂商往往不愿意采取此类大型更新; 根据我们对于智能手机制造商的了解,单纯出于安全修复角度的理由而指望他们采纳***系统版本根本不切实际。当然,OEM厂商的立场也可以理解。一家移动设备制造商在通过手机发布定制化Android 4.3版本之后,往往会发现针对现有定制版本发布新的4.3版本补丁要远比更新至Android 4.4或者5.0版本更轻松。保持现有系统版本能够将变动控制在***程度,因此对相关工作量的要求也能得到有效缩减。
谷歌公司的立场则更为复杂,因为他们根本无力对手机上的系统平台进行强制更新。正如Android手机上并不提供Windows Update,谷歌也没有能力直接将更新推送至操作系统当中; 他们必须依赖各家OEM厂商以及网络运营商,才能实现源代码变更并将其分发至用户手中。相比之下,苹果与微软都拥有能够对其移动操作系统进行直接更新的官方渠道。
事实上,谷歌惟一能够实现的就是通过Play Store基础设施对移动设备上的应用程序进行更新。在每一次推出Android新版本的同时,谷歌都会将更多功能塞进安装包当中,其中包括Google Play服务与Google Play Store等运行在核心Android操作系统之上的方案。这些安装包能够通过Play Store系统实现更新与维护,而在Android 5版本中、WebView控制机制也被纳入这一范畴。因此从现在开始,WebView组件已经能够在谷歌的直接管理下实现更新——不过在WebView仍属于核心开源Android操作系统组成部分的版本当中,这一安全问题将继续存在。顺带一提,根据谷歌自身作出的估算,目前Android 5.0的服务对象在全部Android用户当中仅占不足0.1%比例。
这种对服务以及维护机制的改进也成为谷歌将更多功能添加到APK当中——即脱离于Android操作系统之外——的重要理由。不过此类措施对于高达六成的Android用户仍然未能起到任何作用,他们每一次点击链接并通过Twitter客户端内置浏览器进行访问时、还在继续遭受严重的安全威胁。
英文原文:http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/
