|
|
谷歌停止修补核心安卓组件设备的60% 远程控制软件,灰鸽子
WebView优柔寡断和旧的操作系统版本不再从谷歌获得修补爱情,Rapid7研究员说
谷歌已经停止修补一个核心组件的Android版本比4.4 v,又名“KitKat”安全研究员说今天,他敦促该公司重新考虑的政策可能会让60%以上的Android用户未来容易受到攻击。
周一,托德比尔兹利,安全厂商Rapid7工程经理声称,谷歌的安全团队说他们不会工艺修复缺陷的WebView Android 4.3以上。Android 4.3,前任KitKat更好的被称为“果冻豆”,灰鸽子使用教程 。
WebView股票是一个操作系统核心组件,权力Android浏览器包含软心豆粒糖——谷歌取代,与Chrome浏览器KitKat和被称为应用程序在早些时候KitKat和显示一个Web页面。(控制力的WebView分离出来的操作系统Android 5.0,又名“棒棒糖”。)
“(WebView)是任何应用程序的方式呈现Web页面或基于Web的内容,如应用内广告,”比尔兹利在接受采访时表示。”,WebView是Android的攻击向量。的Android设备和互联网的方式,如果我攻击者会利用WebView通过一个网站,希望人们会点击它。”
根据比尔兹利,Android安全响应团队首先回应bug报告,“我们't-patch-WebView-anymore”回复10月中旬,之后他提交一个漏洞类似于谷歌处理和快速修补两周前。
“如果影响版本(WebView)在4.4之前,我们通常不开发补丁,但欢迎补丁的报告考虑,“通过电子邮件响应团队告诉比尔兹利。“除了通知oem,我们将无法采取行动的任何报告影响版本4.4之前不是伴随着一片。”
谷歌没有回复请求确认的政策,或评论比尔兹利今天的长博文。比尔兹利称为实践“大”和“令人震惊”。
“Android有巨大的安装基础,”他说,并指出WebView不会打补丁的版本由谷歌占60%以上的安装基础。
“我知道这是一个巨大的麻烦永远支持的事情,”比尔兹利说。“开发人员,每天打电话。但大多数支持优柔寡断的人,因为他们不想降低自己的(大部分)的Android市场。”
他也批评谷歌不明确什么组件,说,优柔寡断的人或者不支持。“他们应该告诉人们是什么,什么不是支持,”比尔兹利补充道。“今天,没有什么在开发者文档提到生命的结束。灰鸽子远控,灰鸽子破解版”
同样的批评也针对苹果,不显式地说明它支持多久每个版本的OS X或iOS。
尽管iOS没有写临终政策和苹果很少补丁的旧版本iOS——它不是告诉客户升级——公司通常支持几代的最新版的iOS的设备。然而,苹果和谷歌之间的区别是鲜明的升级和更新时,前者为客户提供直接,而谷歌不。谷歌的做法导致了更大比例的设备运行旧的操作系统比苹果的。
比尔兹利几乎同样重要的是,谷歌并没有相同的政策适用于所有部分的果冻豆。“这不是生命的终结所有的Android 4.3版本,或者优柔寡断的人,”比尔兹利说。当他提出了一个假设的Android安全响应团队是否补丁漏洞在果冻豆的音频播放器,例如,比尔兹利被告知谷歌解决这个缺陷。“这种不公平待遇不同的组件将会被迷惑,”他预测。
增加了不确定性,一些设备制造商或航空公司可能补丁特定WebView错误解释的Android,而另一些则不会。谷歌表示,尽管它不会解决这种漏洞本身,它会接受别人的补丁,甚至包括设备制造商、运营商和安全研究人员。
比尔兹利说,这不是未知的研究者提供补丁缺陷发现和报道。
在博客中,比尔兹利问谷歌重新考虑其明显no-patch政策WebView优柔寡断的人及以上。“谷歌的工程团队往往是最好的在很多事情,包括Android操作系统开发,所以看到他们离开安全的游戏在这方面大大地有关,”他写道。“我希望谷歌反思。”
目前,Rapid7 Metasploit渗透测试框架包括几个利用模块依赖于应用补丁的WebView漏洞在果冻豆,比尔兹利证实。 |
|
加载中...
发表于 2015-1-13 14:28:03
发表于 2015-1-13 14:28:05