由于需要打理的代码规模太过庞大,谷歌确认其不会对高达六成Android硬件上的WebView组件进行补丁修复。
谷歌于上周五进一步确认了其中止对WebView提供补丁修复的决定——所谓WebView,属于Android 4.4 “奇巧”之前各版本中的核心组件——并表示这是考虑到规模庞大的代码库在修复过程中可能存在安全隐患。
“直到最近,我们还一直在为Android 4.3以及早期版本中WebView所使用的WebKit版本提供支持,”Android开发团队首席安全工程师Adrian Ludwig在Google+上写道。“不过单是WebKit本身的代码量已经超过500万行,而且每个月仍有成百上千位开发者向其中添加上万条贡献。因此在这种情况下,将漏洞补丁应用至诞生已超过两年的WebKit分支当中很可能会给代码内的重要部分造成影响,且无法在实际层面保障安全性。”
Ludwig的意见是在回应本月早些时候由Tod Beardsley发布的惊人结论,这位效力于安全方案供应商Rapid7公司的工程经理认为,谷歌的安全团队将不再对Android 4.3及其早期版本中WebView所存在的安全漏洞作出修复。Android 4.3,也就是奇巧的上一个版本,正是赫赫有名的果冻豆。
WebView的作用在于为果冻豆当中的Android浏览器提供运作支持——谷歌在奇巧版本中将这一浏览器替换为Chrome——而在奇巧及之前版本当中,应用程序在显示Web页面时也会对其进行调用。(WebView迎来的下一次重大转变源自Android操作系统的5.0版本,即‘Lollipop’)。
由于不仅作用于谷歌移动浏览器核心、同时也会被各类应用程序进行深度调用,因此WebView当中存在的任何安全漏洞都有可能给用户带来严重威胁,Beardsley在一篇发布于今年1月12日的博文中以及同日接受Computerworld采访时重复强调称。
“WebView正是Android系统中的攻击微量,”Beardsley旋即补充称。“如果我是攻击者,我一定会利用WebView来制作网站并希望受害者们点击访问。”
根据Beardsley的说法,Android安全应对团队在去年10月首次以“我们不会再对WebView发布任何修复补丁”为内容回应了相关漏洞报告。Beardsley利用自己的博客与谷歌展开交涉,希望后者改变固执的态度、重新着手为Android各旧版本中的WebView提供修复补丁,毕竟谷歌自己也承诺WebView仍在支持着超过六成Android设备。
Ludwig证实称WebView不会在大部分Android智能手机或者平板设备上得到任何更新,并同时给出了谷歌方面的补丁处理政策。
“我们会对Android开源项目(简称AOSP)中的现有Android分支版本提供修复补丁,并直接为各Android合作伙伴提供至少最近两个主要版本的操作系统补丁。”
Beardsley对此又做何反应?
“首先,我对于谷歌公司给出的反应非常惊讶。他们通常不会就安全建议给出任何回复,”Beardsley在上周五的一次采访中表示。但至少现在每个人都已经了解自己的Android版本是否能够获得安全修复。“这是谷歌方面第一次以公开态度大范围声明其补丁修复政策,”Beardsley补充道。“我很高兴他们能够给出这样一种明确的态度,虽然这实际上帮不上什么忙。”
自2012年7月到2013年7月,果冻豆大版下的各个分支版本开始陆续推出,这意味着某些情况下WebView获得了一年左右的支持周期,而该组件最多还将在未来两年内继续拥有官方支持。
相比之下,苹果公司则会在新的iOS版本中对前几代设备继续提供支持,而且与谷歌不同的是、苹果会将补丁直接提供给用户。(去年发布的iOS 8仍然支持iPhone 4S及其后续机型,而iPhone 4S的正式发售时间是在2011年10月。)与此同时,微软公司也一直为其Windows桌面操作系统提供长达10年的技术支持,Windows Phone 8.1的支持周期也达到3年——具体来讲持续至2017年7月。
谷歌公司的Ludwig建议称,在设备上运行Chrome或者Mozilla火狐浏览器的用户应当定期对二者进行更新。“使用可更新的浏览器方案能够保护我们远离当前已知安全问题的侵扰,而且由于在后续使用中仍能不断更新、因此用户还将在未来持续获得针对任何已知问题的保护,”Ludwig解释道。
Ludwig同时表示,应用程序开发人员应当遵循各类安全最佳实践,即仅加载受信内容——包括来自设备自身或者通过HTTPS交付的内容——或者自行编写渲染器。
“其中有些建议确实不错,但有些建议就有点莫名其妙了,”Beardsley反击道。没错,他认为开发人员确实应当如Ludwig撰文将安全实践引入日常工作,但其它部分内容呢?“这其实有点不切实际。目前市面上充斥着大量除了渲染广告外百无一用的应用程序,而我怀疑根本就没多少广告网络会使用HTTPS,”Beardsley指出。“而且自行编写渲染器?简直是费解。我真不知道这跟解决Android 4.3及早期版本用户面临的安全问题有什么关系。”
Ludwig宣称,Android用户已经开始由存在漏洞的果冻豆及更早版本向奇巧以及Lollipop等新版本进行升级。“由于Android 4.4的先进优势,受到WebKit安全问题潜在影响的用户数量每一天都在不断降低,而且越来越多的用户选择升级到新版本或者直接购买新设备,”Ludwig如是说。
谷歌以及各大负责销售Android设备的移动运营商可能会在未来提供更为及时的操作系统更新方案,但就目前而言这方面工作仍然进展缓慢。根据谷歌公司自身搜罗的统计数据显示:截至今年1月5日,也就是最后一次数据更新时,仍有超过六成Android设备继续运行着果冻豆或者更早版本。
目前果冻豆版本仍然在全部Android设备当中拥有36%的整体占比,几乎与奇巧版本相当(占比为39.1%)。而新近发布的Lollipop在份额方面尚没能达到可怜的0.1%。
“用户们继续使用陈旧Android版本是有理由的,”Beardsley指出。他列举了其中几大常见原因,包括资金紧张因此无法购买搭载有新版本Android系统的智能手机,以及大部分运营商由于偏向于销售新硬件而非更新旧设备、因此始终在版本升级方面行动迟缓。
“在未来五年内,这一状况将取得改善,但问题解决比例仍不可能达到100%,”Beardsley表示。“针对陈旧Android版本内漏洞所展开的攻击活动仍将活跃并颇有市场,”他补充称,并指出这种情况与针对Windows XP漏洞的攻击活动非常相似。
“将高达六成的Android设备直接丢进遗留版本门类无疑简单而且粗暴,我认为这不会起到任何积极作用,”Beardsley表示。
不过Ludwig也确实承认了这一点,Beardsley此前还曾致电谷歌、呼吁其重新考虑这一问题。
“但他们并没有任何退让之意,这一决定恐怕已成事实,”Beardsley无奈地指出。
英文原文:http://www.computerworld.com/article/2875136/google-defends-policy-that-leaves-most-android-devices-unpatched.html
