前段時(shí)間谷歌在微軟發(fā)布修復(fù)補(bǔ)丁的兩天前披露一項(xiàng)Windows漏洞之事曾經(jīng)引發(fā)軒然大波，而如今谷歌也由于自家軟件的更新問題而被推到了風(fēng)口浪尖之上。

盡管已出現(xiàn)數(shù)次前車之鑒，此番Android 4.3及更早版本中的WebView組件再度曝出存在安全漏洞。WebView是一套可嵌入式瀏覽器控制方案，其以Android應(yīng)用程序中所使用的某個(gè)WebKit渲染引擎版本作為運(yùn)作基礎(chǔ)。

Android 4.4以及5.0版本的WebView轉(zhuǎn)而使用Blink而不再依賴于WebKit，因此并未受到此次事件的影響。不過根據(jù)谷歌公司自己的統(tǒng)計(jì)數(shù)據(jù)，約有六成Android用戶仍在使用這套操作系統(tǒng)的4.3以及更早版本。有鑒于此，這次披露的安全漏洞將產(chǎn)生普遍而嚴(yán)重的負(fù)面影響。常規(guī)處理流程是將該漏洞報(bào)告給谷歌方面，并由谷歌開發(fā)修復(fù)補(bǔ)丁、隨后作為Android開源項(xiàng)目的一部分予以發(fā)布。

然而根據(jù)Metasploit安全測(cè)試框架開發(fā)者Tod Beardsley在文章中所言，這一次情況將有所不同。雖然Android安全團(tuán)隊(duì)已經(jīng)得到了與該問題有關(guān)的提醒，但其反饋意見卻是：

如果受到影響的（WebView）版本早于4.4，我們基本上不會(huì)親自就此開發(fā)修復(fù)補(bǔ)丁，但歡迎其它方面提供值得考量的補(bǔ)丁方案。除了通知OEM合作方之外，我們將不會(huì)對(duì)就4.4及更早版本所受影響作出說明、但未附帶實(shí)際補(bǔ)丁的提交報(bào)告作出任何實(shí)質(zhì)性處理。

谷歌公司將向各OEM合作方通報(bào)這項(xiàng)問題，但無(wú)意對(duì)其加以修復(fù)。在進(jìn)一步追問下，Android開發(fā)團(tuán)隊(duì)給出了這樣的回應(yīng)：

如果受到影響的（WebView）版本早于4.4，我們基本上不會(huì)親自就此開發(fā)修復(fù)補(bǔ)丁，但將對(duì)可能受其影響的合作伙伴發(fā)出提醒。如果相關(guān)報(bào)告中附帶修復(fù)補(bǔ)丁或者AOSP獲得相關(guān)應(yīng)對(duì)代碼，我們將樂于將其提供給各合作伙伴。

經(jīng)過進(jìn)一步核實(shí)，Android開發(fā)團(tuán)隊(duì)表示Android 4.3版本當(dāng)中的媒體播放器等組件會(huì)接收后端補(bǔ)丁，但WebView卻完全依托于自身。盡管目前谷歌似乎尚未給出明確的淘汰結(jié)論，但Android 4.3的WebView幾乎已經(jīng)在實(shí)質(zhì)層面走到了生命周期的盡頭。WebView控制機(jī)制在大部分Android手機(jī)上仍在發(fā)揮作用，甚至在目前在售的部分Android手機(jī)上亦繼續(xù)存在，因此其缺乏支持與安全性保障的現(xiàn)狀確實(shí)令人難以安心。

更糟糕的是，谷歌公司甚至并沒有就那些得到通報(bào)或者修復(fù)的Android安全漏洞提供太多說明信息。Beardsley寫道，谷歌為已修復(fù)安全漏洞準(zhǔn)備的惟一說明就是在將對(duì)應(yīng)修復(fù)補(bǔ)丁整合進(jìn)AOSP時(shí)的提交信息。而在某項(xiàng)漏洞未得到修復(fù)時(shí)，此類提交信息自然也不復(fù)存在，也就相當(dāng)于用戶根本得不到有關(guān)該問題的任何公開記錄。

當(dāng)然，谷歌為Android 4.3以及更早版本提供補(bǔ)丁還僅僅是解決問題的***步。OEM廠商接下來需要將補(bǔ)丁納入自己的固件更新方案，移動(dòng)運(yùn)營(yíng)商則需要驗(yàn)證并對(duì)這些固件更新作出進(jìn)一步定制化調(diào)整，因此在實(shí)際執(zhí)行過程中、仍有大量Android用戶根本得不到這些修復(fù)補(bǔ)丁。但需要強(qiáng)調(diào)的是，如果沒有谷歌邁出的這***步，那么就連這一丁點(diǎn)解決問題的可能性都將消失殆盡。

但在過去，上述難關(guān)并沒有阻擋谷歌公司開發(fā)安全更新舉措的腳步; 就在去年四月，該公司還曾為Android 4.1提供過針對(duì)Heartbleed漏洞的修復(fù)補(bǔ)丁。OEM合作方雖然對(duì)該更新的交付作出諸多限制，但至少用戶已經(jīng)獲得了可資選擇的解決方案。而此次曝出的WebView問題則干脆不具備任何形式的應(yīng)對(duì)措施。

從原則上講，大部分運(yùn)行著Android 4.3以及更早版本的手機(jī)設(shè)備都能夠接收到適用于4.4甚至是5.0系統(tǒng)版本的大型更新，并通過這種方式實(shí)現(xiàn)漏洞清除。然而實(shí)際情況遠(yuǎn)沒有那么樂觀，各大OEM廠商往往不愿意采取此類大型更新; 根據(jù)我們對(duì)于智能手機(jī)制造商的了解，單純出于安全修復(fù)角度的理由而指望他們采納***系統(tǒng)版本根本不切實(shí)際。當(dāng)然，OEM廠商的立場(chǎng)也可以理解。一家移動(dòng)設(shè)備制造商在通過手機(jī)發(fā)布定制化Android 4.3版本之后，往往會(huì)發(fā)現(xiàn)針對(duì)現(xiàn)有定制版本發(fā)布新的4.3版本補(bǔ)丁要遠(yuǎn)比更新至Android 4.4或者5.0版本更輕松。保持現(xiàn)有系統(tǒng)版本能夠?qū)⒆儎?dòng)控制在***程度，因此對(duì)相關(guān)工作量的要求也能得到有效縮減。

谷歌公司的立場(chǎng)則更為復(fù)雜，因?yàn)樗麄兏緹o(wú)力對(duì)手機(jī)上的系統(tǒng)平臺(tái)進(jìn)行強(qiáng)制更新。正如Android手機(jī)上并不提供Windows Update，谷歌也沒有能力直接將更新推送至操作系統(tǒng)當(dāng)中; 他們必須依賴各家OEM廠商以及網(wǎng)絡(luò)運(yùn)營(yíng)商，才能實(shí)現(xiàn)源代碼變更并將其分發(fā)至用戶手中。相比之下，蘋果與微軟都擁有能夠?qū)ζ湟苿?dòng)操作系統(tǒng)進(jìn)行直接更新的官方渠道。

事實(shí)上，谷歌惟一能夠?qū)崿F(xiàn)的就是通過Play Store基礎(chǔ)設(shè)施對(duì)移動(dòng)設(shè)備上的應(yīng)用程序進(jìn)行更新。在每一次推出Android新版本的同時(shí)，谷歌都會(huì)將更多功能塞進(jìn)安裝包當(dāng)中，其中包括Google Play服務(wù)與Google Play Store等運(yùn)行在核心Android操作系統(tǒng)之上的方案。這些安裝包能夠通過Play Store系統(tǒng)實(shí)現(xiàn)更新與維護(hù)，而在Android 5版本中、WebView控制機(jī)制也被納入這一范疇。因此從現(xiàn)在開始，WebView組件已經(jīng)能夠在谷歌的直接管理下實(shí)現(xiàn)更新——不過在WebView仍屬于核心開源Android操作系統(tǒng)組成部分的版本當(dāng)中，這一安全問題將繼續(xù)存在。順帶一提，根據(jù)谷歌自身作出的估算，目前Android 5.0的服務(wù)對(duì)象在全部Android用戶當(dāng)中僅占不足0.1%比例。

這種對(duì)服務(wù)以及維護(hù)機(jī)制的改進(jìn)也成為谷歌將更多功能添加到APK當(dāng)中——即脫離于Android操作系統(tǒng)之外——的重要理由。不過此類措施對(duì)于高達(dá)六成的Android用戶仍然未能起到任何作用，他們每一次點(diǎn)擊鏈接并通過Twitter客戶端內(nèi)置瀏覽器進(jìn)行訪問時(shí)、還在繼續(xù)遭受嚴(yán)重的安全威脅。

英文原文：http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/