亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

擁有20多億用戶的安卓系統(tǒng)需要守護的設(shè)備太多了。但一個存在了5年之久的高危漏洞提醒人們：安卓令人驚嘆的開源代碼覆蓋面也給去中心化生態(tài)系統(tǒng)防護帶來了挑戰(zhàn)。

該漏洞由威脅檢測公司 Positive Technologies 移動安全研究員 Sergey Toshin 發(fā)現(xiàn)，源于 Chrome 和很多其他瀏覽器的支撐開源項目 Chromium。因此，攻擊目標不僅僅是移動 Chrome，基于 Chromium 的其他流行移動瀏覽器都在打擊范圍內(nèi)。更具體講，凡是帶有 WebView功能的安卓機都受到Chromium的支持，用戶點擊游戲或社交網(wǎng)絡(luò)中的鏈接時，WebView 功能可在某種迷你瀏覽器中加載這些網(wǎng)頁，讓用戶無需離開原應(yīng)用。利用 Chromium 漏洞，黑客可以用 WebView 劫掠用戶數(shù)據(jù)并取得廣泛的設(shè)備訪問權(quán)。

攻擊者可對安卓設(shè)備上的任意Chromium系手機瀏覽器發(fā)起襲擊，包括谷歌Chrome、三星Internet瀏覽器和Yandex瀏覽器，從其WebView中抽取數(shù)據(jù)。

更糟的是，自2013年的 4.4 KitKat 起，后續(xù)所有安卓版本都含有該漏洞。4.4 KitKat 是首個可以監(jiān)聽“Ok Google”和在谷歌鍵盤上納入表情符號的安卓版本，情況真的很嚴重。

絕大多數(shù)情況下，幾乎不可能檢測出來。

通過誘騙用戶安裝含有WebView的惡意軟件并利用該漏洞，攻擊者可獲得對受害者設(shè)備最可靠、最持久的訪問。但Toshin指出，攻擊者還能利用該漏洞獲得一些不恰當?shù)脑O(shè)備訪問權(quán)限，方法就是誘使用戶點擊通過安卓即時應(yīng)用( Instant App )功能打開的惡意鏈接。即時應(yīng)用功能使用戶無需實際安裝就能立即執(zhí)行某應(yīng)用。這種情況下，攻擊者不會擁有持久訪問權(quán)，但能獲得有限的時間窗口來捕獲用戶數(shù)據(jù)或其移動賬戶信息。無論如何，這些攻擊方法都悄無聲息，毫不引人注目。

今年1月時，Positive Technologies 就將漏洞情況通報給了谷歌，當月末，谷歌就在 Chrome 72 中修復(fù)了該漏洞。運行安卓7及其后續(xù)版本的設(shè)備應(yīng)可經(jīng)由通用Chrome更新獲得修復(fù)，但運行安卓5和6的設(shè)備就得通過Google Play安裝WebView的特別更新了。開啟了自動更新的安卓用戶無需多費心神。若未開啟，就只有自行安裝了。

Toshin和谷歌都表示，沒有內(nèi)置 Google Play 的安卓設(shè)備，比如亞馬遜Kindle，需要設(shè)備制造商發(fā)布專用補丁。這正是安卓繽紛多彩的生態(tài)系統(tǒng)給設(shè)備修復(fù)帶來的特殊麻煩。

谷歌還指出，因為安卓4.4發(fā)布已經(jīng)超過5年，且只運行在一小部分設(shè)備上，該公司沒有為此版安卓發(fā)布補丁。但谷歌自己的數(shù)據(jù)表明，有7.6%的安卓設(shè)備還運行的是KitKat。考慮到20億用戶的總量，7.6%就是1.52億，比當前版本安卓 Oreo 8.1 的7.5%還多。

谷歌一直在提升其跨設(shè)備補丁推送的能力，最小化不同制造商實現(xiàn)導(dǎo)致的障礙。但這方面需要做的工作還很多。且因為安卓應(yīng)用面十分寬廣，世界各地?zé)o論貧富與產(chǎn)業(yè)差別都在用，現(xiàn)實就是老版本安卓仍將存在很長時間。