亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

放棄老版本:超過9.3億安卓手機失去谷歌官方安全保護

責編:admin |2015-01-19 10:51:53

  面對越來越多基于Android(安卓)系統(tǒng)開發(fā)的手機,當前谷歌已經(jīng)無力直接控制Android設(shè)備的安全升級了,這種情況會導致約60%的Android手機處于在安全風險中。

  Android處于危險之中

  安全專家Todd Bearsley在Rapid7 Security Street上發(fā)布了一篇有趣的博文,文中解釋說目前Metasploit框架中包含11種針對WebView的不同漏洞利用程序。

  “WebView是Android設(shè)備中用于渲染web頁面的核心組件。在Android KitKat(4.4)中該組件被另一個基于Chromium的WebView所替代,而谷歌的Chrome瀏覽器使用的也正是該組件。”

  安全社區(qū)意識到舊版本Android系統(tǒng)中的WebView組件非常脆弱。就在1年前,Rapid 7 發(fā)布了“exploit/android/browser/webview_addjavascriptinterface”模塊,該模塊使得攻擊者能夠遠程訪問大多數(shù)Android設(shè)備。

  放棄老版本,谷歌不再提供安全支持

  壞消息是,目前在用戶使用的Android設(shè)備中,約60%仍舊依賴于包含漏洞的WebView組件;更壞的消息是谷歌以后將不再修復WebView漏洞,Android4.4之前的所有版本都會受該漏洞的影響。好消息是,谷歌將接受由研究社區(qū)提供的漏洞補丁,并會將新發(fā)現(xiàn)的漏洞及時通知給OEM合作伙伴。

  在收到Android4.4之前版本的WebView漏洞的報告時,安卓安全團隊給出了這樣的回復:

  如果受影響的版本(WebView)是在Android4.4之前,那么我們通常不親自開發(fā)補丁,但歡迎你們開發(fā)補丁并提供相關(guān)報告。除了通知OEM方,我們將不會采取任何措施來應對該漏洞。

  然而,即使谷歌將有關(guān)新漏洞的消息通知給OEM方,大規(guī)模的漏洞補丁管理仍然需要花費很長的時間,所以在補丁發(fā)布之前,60%的最終用戶仍然處于危險之中。

  同時有一點必須考慮,那就是不同的手機廠商都會發(fā)布他們自己定制的Android系統(tǒng)(OEM),通常這些定制系統(tǒng)中會包含一些輔助功能和第三方應用。

  根據(jù)谷歌發(fā)布的數(shù)據(jù),雖然自從2013年10月份就已發(fā)布Android4.4系統(tǒng),但是約60%的移動用戶仍然使用的是4.4之前的系統(tǒng)版本,使得這些用戶無形中暴露在被攻擊的危險之中。

  由Gartner和《華爾街日報》給出的有關(guān)智能手機分布數(shù)據(jù)表明,超過9.3億的Android手機現(xiàn)在失去了谷歌官方安全補丁的支持。

  我們還必須考慮到,供應商和網(wǎng)絡(luò)提供商很少會開發(fā)、測試補丁并修復舊版本中的漏洞,而是更加希望Android手機用戶升級設(shè)備。

  我個人認為這跟谷歌不能控制整個Android系統(tǒng)升級供應鏈有關(guān);另一個原因是日益增加的網(wǎng)絡(luò)威脅已經(jīng)瞄準了移動行業(yè),并且這種威脅更加復雜。

  與谷歌不同的是,蘋果和微軟這種公司對他們的移動操作系統(tǒng)的部署和升級都擁有直接的控制權(quán)。

  Android安全形式嚴峻

  Bearsley也提供了一個有趣的“升級經(jīng)濟”現(xiàn)象。根據(jù)市場上手機價格的不同,我們本來會有很多選擇。但不幸的是,大部分用戶付不起升級手機的費用,所以沒有其他選擇,只能買上市已久的Android手機。

  “除了手機系統(tǒng)的安裝基礎(chǔ),我認為目前使用Android4.4之前版本的用戶很可能是沒有足夠的經(jīng)濟支撐來升級到Android最新版本。最新的谷歌Nexus零售價約為660美元,而亞馬遜上第一款Android手機的零售價才70美元。兩者的差價將近10倍,這就意味著兩個差別非常大的用戶基礎(chǔ):一個是不介意花費幾百美元來買一個新手機,另一個則是買不起價格超過100美元的手機。所有加在一起,則有約2/3的用戶基本沒有經(jīng)濟能力去升級自己的移動設(shè)備,也就意味著舊有Android手機中的漏洞利用將會持續(xù)很長時間。”

  安全研究人員已經(jīng)發(fā)現(xiàn)針對移動平臺的攻擊越來越頻繁,并且利用Android設(shè)備漏洞的在線工具和平臺也越來越多。

  我們希望谷歌能夠重新考慮為舊有的Android手機提供安全支持,因為用戶的安全是我們所有人的責任。

 

上一篇:智能無懼挑戰(zhàn) 山石網(wǎng)科轟動RSA2015

下一篇:使用I2P匿名網(wǎng)絡(luò)通信,又一款勒索軟件CryptoWall 3.0來了