有外國網站報導,Google 已靜悄悄停止了 Android 4.3 或以前版本的官方安全更新,換言之多達 9.3 億台現存仍使用 4.3 或以下版本的 Android 裝置,未來的安全風險將大為提高。
將停止官方漏洞修補
據 Rapid7 資訊保安研究人員表示,在向 Google 匯報 WebView 漏洞時,負責 Android 的安全團隊表示如受影響的是 4.3 或之前的版本,Google 已不會再開發官方修補程式,但就歡迎報告者附上修補程式,亦會通報 OEM 廠商,但 Google 官方將不會有其他行動。
WebView 漏洞允許應用程式在不打開另一個程式的情況下顯示網頁,許多應用程式和網路廣告都使用這一工具,也是黑客入侵時最喜歡針對的目標。缺少 WebView 漏洞修補會方便黑客利用入侵測試工具包的入侵 Android 系統,雖然使用者可從第三方保安廠商獲得修補,但由於不是官方修補,因此將存在其他不可知風險。
Google 建議使用者盡早升級到 4.4 或以上的較新版本,但考慮到不是所有裝置都有升級的支援,換言之採用舊版本系統的裝置,未來將會存在一定的安全漏洞風險。
根據 Google 數據,目前 Android 智能手機全球已達 15.624 億部,其中有 60.1% 運行 4.3 或以下版本,即新政策將影響多達 9.39 億部裝置。
Source: IT Media News