[[127122]]

由于需要打理的代碼規(guī)模太過(guò)龐大，谷歌確認(rèn)其不會(huì)對(duì)高達(dá)六成Android硬件上的WebView組件進(jìn)行補(bǔ)丁修復(fù)。

谷歌于上周五進(jìn)一步確認(rèn)了其中止對(duì)WebView提供補(bǔ)丁修復(fù)的決定——所謂WebView，屬于Android 4.4 “奇巧”之前各版本中的核心組件——并表示這是考慮到規(guī)模龐大的代碼庫(kù)在修復(fù)過(guò)程中可能存在安全隱患。

“直到最近，我們還一直在為Android 4.3以及早期版本中WebView所使用的WebKit版本提供支持，”Android開(kāi)發(fā)團(tuán)隊(duì)首席安全工程師Adrian Ludwig在Google+上寫道。“不過(guò)單是WebKit本身的代碼量已經(jīng)超過(guò)500萬(wàn)行，而且每個(gè)月仍有成百上千位開(kāi)發(fā)者向其中添加上萬(wàn)條貢獻(xiàn)。因此在這種情況下，將漏洞補(bǔ)丁應(yīng)用至誕生已超過(guò)兩年的WebKit分支當(dāng)中很可能會(huì)給代碼內(nèi)的重要部分造成影響，且無(wú)法在實(shí)際層面保障安全性。”

Ludwig的意見(jiàn)是在回應(yīng)本月早些時(shí)候由Tod Beardsley發(fā)布的驚人結(jié)論，這位效力于安全方案供應(yīng)商Rapid7公司的工程經(jīng)理認(rèn)為，谷歌的安全團(tuán)隊(duì)將不再對(duì)Android 4.3及其早期版本中WebView所存在的安全漏洞作出修復(fù)。Android 4.3，也就是奇巧的上一個(gè)版本，正是赫赫有名的果凍豆。

WebView的作用在于為果凍豆當(dāng)中的Android瀏覽器提供運(yùn)作支持——谷歌在奇巧版本中將這一瀏覽器替換為Chrome——而在奇巧及之前版本當(dāng)中，應(yīng)用程序在顯示W(wǎng)eb頁(yè)面時(shí)也會(huì)對(duì)其進(jìn)行調(diào)用。（WebView迎來(lái)的下一次重大轉(zhuǎn)變?cè)醋訟ndroid操作系統(tǒng)的5.0版本，即‘Lollipop’）。

由于不僅作用于谷歌移動(dòng)瀏覽器核心、同時(shí)也會(huì)被各類應(yīng)用程序進(jìn)行深度調(diào)用，因此WebView當(dāng)中存在的任何安全漏洞都有可能給用戶帶來(lái)嚴(yán)重威脅，Beardsley在一篇發(fā)布于今年1月12日的博文中以及同日接受Computerworld采訪時(shí)重復(fù)強(qiáng)調(diào)稱。

“WebView正是Android系統(tǒng)中的攻擊微量，”Beardsley旋即補(bǔ)充稱。“如果我是攻擊者，我一定會(huì)利用WebView來(lái)制作網(wǎng)站并希望受害者們點(diǎn)擊訪問(wèn)。”

根據(jù)Beardsley的說(shuō)法，Android安全應(yīng)對(duì)團(tuán)隊(duì)在去年10月首次以“我們不會(huì)再對(duì)WebView發(fā)布任何修復(fù)補(bǔ)丁”為內(nèi)容回應(yīng)了相關(guān)漏洞報(bào)告。Beardsley利用自己的博客與谷歌展開(kāi)交涉，希望后者改變固執(zhí)的態(tài)度、重新著手為Android各舊版本中的WebView提供修復(fù)補(bǔ)丁，畢竟谷歌自己也承諾WebView仍在支持著超過(guò)六成Android設(shè)備。

Ludwig證實(shí)稱WebView不會(huì)在大部分Android智能手機(jī)或者平板設(shè)備上得到任何更新，并同時(shí)給出了谷歌方面的補(bǔ)丁處理政策。

“我們會(huì)對(duì)Android開(kāi)源項(xiàng)目（簡(jiǎn)稱AOSP）中的現(xiàn)有Android分支版本提供修復(fù)補(bǔ)丁，并直接為各Android合作伙伴提供至少最近兩個(gè)主要版本的操作系統(tǒng)補(bǔ)丁。”

Beardsley對(duì)此又做何反應(yīng)？

“首先，我對(duì)于谷歌公司給出的反應(yīng)非常驚訝。他們通常不會(huì)就安全建議給出任何回復(fù)，”Beardsley在上周五的一次采訪中表示。但至少現(xiàn)在每個(gè)人都已經(jīng)了解自己的Android版本是否能夠獲得安全修復(fù)。“這是谷歌方面第一次以公開(kāi)態(tài)度大范圍聲明其補(bǔ)丁修復(fù)政策，”Beardsley補(bǔ)充道。“我很高興他們能夠給出這樣一種明確的態(tài)度，雖然這實(shí)際上幫不上什么忙。”

自2012年7月到2013年7月，果凍豆大版下的各個(gè)分支版本開(kāi)始陸續(xù)推出，這意味著某些情況下WebView獲得了一年左右的支持周期，而該組件最多還將在未來(lái)兩年內(nèi)繼續(xù)擁有官方支持。

相比之下，蘋果公司則會(huì)在新的iOS版本中對(duì)前幾代設(shè)備繼續(xù)提供支持，而且與谷歌不同的是、蘋果會(huì)將補(bǔ)丁直接提供給用戶。（去年發(fā)布的iOS 8仍然支持iPhone 4S及其后續(xù)機(jī)型，而iPhone 4S的正式發(fā)售時(shí)間是在2011年10月。）與此同時(shí)，微軟公司也一直為其Windows桌面操作系統(tǒng)提供長(zhǎng)達(dá)10年的技術(shù)支持，Windows Phone 8.1的支持周期也達(dá)到3年——具體來(lái)講持續(xù)至2017年7月。

谷歌公司的Ludwig建議稱，在設(shè)備上運(yùn)行Chrome或者M(jìn)ozilla火狐瀏覽器的用戶應(yīng)當(dāng)定期對(duì)二者進(jìn)行更新。“使用可更新的瀏覽器方案能夠保護(hù)我們遠(yuǎn)離當(dāng)前已知安全問(wèn)題的侵?jǐn)_，而且由于在后續(xù)使用中仍能不斷更新、因此用戶還將在未來(lái)持續(xù)獲得針對(duì)任何已知問(wèn)題的保護(hù)，”Ludwig解釋道。

Ludwig同時(shí)表示，應(yīng)用程序開(kāi)發(fā)人員應(yīng)當(dāng)遵循各類安全最佳實(shí)踐，即僅加載受信內(nèi)容——包括來(lái)自設(shè)備自身或者通過(guò)HTTPS交付的內(nèi)容——或者自行編寫渲染器。

“其中有些建議確實(shí)不錯(cuò)，但有些建議就有點(diǎn)莫名其妙了，”Beardsley反擊道。沒(méi)錯(cuò)，他認(rèn)為開(kāi)發(fā)人員確實(shí)應(yīng)當(dāng)如Ludwig撰文將安全實(shí)踐引入日常工作，但其它部分內(nèi)容呢？“這其實(shí)有點(diǎn)不切實(shí)際。目前市面上充斥著大量除了渲染廣告外百無(wú)一用的應(yīng)用程序，而我懷疑根本就沒(méi)多少?gòu)V告網(wǎng)絡(luò)會(huì)使用HTTPS，”Beardsley指出。“而且自行編寫渲染器？簡(jiǎn)直是費(fèi)解。我真不知道這跟解決Android 4.3及早期版本用戶面臨的安全問(wèn)題有什么關(guān)系。”

Ludwig宣稱，Android用戶已經(jīng)開(kāi)始由存在漏洞的果凍豆及更早版本向奇巧以及Lollipop等新版本進(jìn)行升級(jí)。“由于Android 4.4的先進(jìn)優(yōu)勢(shì)，受到WebKit安全問(wèn)題潛在影響的用戶數(shù)量每一天都在不斷降低，而且越來(lái)越多的用戶選擇升級(jí)到新版本或者直接購(gòu)買新設(shè)備，”Ludwig如是說(shuō)。

谷歌以及各大負(fù)責(zé)銷售Android設(shè)備的移動(dòng)運(yùn)營(yíng)商可能會(huì)在未來(lái)提供更為及時(shí)的操作系統(tǒng)更新方案，但就目前而言這方面工作仍然進(jìn)展緩慢。根據(jù)谷歌公司自身搜羅的統(tǒng)計(jì)數(shù)據(jù)顯示：截至今年1月5日，也就是最后一次數(shù)據(jù)更新時(shí)，仍有超過(guò)六成Android設(shè)備繼續(xù)運(yùn)行著果凍豆或者更早版本。

目前果凍豆版本仍然在全部Android設(shè)備當(dāng)中擁有36%的整體占比，幾乎與奇巧版本相當(dāng)（占比為39.1%）。而新近發(fā)布的Lollipop在份額方面尚沒(méi)能達(dá)到可憐的0.1%。

“用戶們繼續(xù)使用陳舊Android版本是有理由的，”Beardsley指出。他列舉了其中幾大常見(jiàn)原因，包括資金緊張因此無(wú)法購(gòu)買搭載有新版本Android系統(tǒng)的智能手機(jī)，以及大部分運(yùn)營(yíng)商由于偏向于銷售新硬件而非更新舊設(shè)備、因此始終在版本升級(jí)方面行動(dòng)遲緩。

“在未來(lái)五年內(nèi)，這一狀況將取得改善，但問(wèn)題解決比例仍不可能達(dá)到100%，”Beardsley表示。“針對(duì)陳舊Android版本內(nèi)漏洞所展開(kāi)的攻擊活動(dòng)仍將活躍并頗有市場(chǎng)，”他補(bǔ)充稱，并指出這種情況與針對(duì)Windows XP漏洞的攻擊活動(dòng)非常相似。

“將高達(dá)六成的Android設(shè)備直接丟進(jìn)遺留版本門類無(wú)疑簡(jiǎn)單而且粗暴，我認(rèn)為這不會(huì)起到任何積極作用，”Beardsley表示。

不過(guò)Ludwig也確實(shí)承認(rèn)了這一點(diǎn)，Beardsley此前還曾致電谷歌、呼吁其重新考慮這一問(wèn)題。

“但他們并沒(méi)有任何退讓之意，這一決定恐怕已成事實(shí)，”Beardsley無(wú)奈地指出。

英文原文：http://www.computerworld.com/article/2875136/google-defends-policy-that-leaves-most-android-devices-unpatched.html