北京時間1月13日早間消息，一位安全專家表示，谷歌已經(jīng)停止為Android 4.4“奇巧”以前版本的系統(tǒng)修補核心組件漏洞。他呼吁該公司重新考慮這一政策，因為此舉會導(dǎo)致60%的Android用戶面臨潛在威脅。

本周一，安全廠商Rapid7工程經(jīng)理托德·比爾茲利(Tod Beardsley)表示，谷歌安全團(tuán)隊宣布將不會修復(fù)Android 4.3“果凍豆”或更早版本系統(tǒng)中的WebView漏洞。

WebView是一個操作系統(tǒng)核心組件，用于支持“果凍豆”中的Android瀏覽器(谷歌在“奇巧”系統(tǒng)中用Chrome取代了這款瀏覽器)，而在奇巧及更早版本的系統(tǒng)中還可以被顯示網(wǎng)頁的應(yīng)用調(diào)用。

“所有應(yīng)用都會用WebView來渲染網(wǎng)頁或基于網(wǎng)頁的內(nèi)容，例如應(yīng)用內(nèi)置廣告。”比爾茲利說，“WebView是Android的一個攻擊途徑，這是Android與互聯(lián)網(wǎng)溝通的渠道。如果我是攻擊者，我會在網(wǎng)站上找到利用WebView的方法，然后引誘人們點擊。”

比爾茲利表示，他在去年10月中旬向谷歌提交了一個與WebView有關(guān)的漏洞后，收到的回復(fù)是：“我們不再修補WebView漏洞。”而短短兩周前，谷歌還曾迅速修補了類似的漏洞。

比爾茲利對這一做法感到震驚。但谷歌并未對此置評。

比爾茲利指出，Android擁有龐大的裝機(jī)量，而受此影響的用戶在Android裝機(jī)量中的占比超過60%。他還批評谷歌沒有明確表示將支持或不支持“果凍豆”的哪些組件。

事實上，蘋果也曾遭遇過類似的指控，因為該公司并沒有明確透露各個版本的OS X和iOS系統(tǒng)將獲得多長時間的支持。雖然iOS并沒有明確支持時限，而蘋果也很少為舊版iOS修補漏洞，而是告知用戶盡快升級，但該公司通常都會支持好幾代采用最新版iOS系統(tǒng)的設(shè)備。

但蘋果與谷歌在系統(tǒng)升級或更新時存在顯著差異，前者直接提供給用戶，而后者卻無法做到，導(dǎo)致大量Android用戶依然采用舊版系統(tǒng)。

比爾茲利還指出，谷歌并沒有對“果凍豆”的所有組件采取相同的政策。例如，當(dāng)Android安全團(tuán)隊收到“果凍豆”音樂播放器的漏洞報告時，他們就會進(jìn)行修補。“這種對不同組件的差異對待將令人困惑。”他說。

這會造成部分Android廠商為用戶修復(fù)WebView漏洞，但其他廠商卻不會。谷歌表示，雖然該公司不會親自修補這類漏洞，但卻可以接受第三方的補丁，包括設(shè)備廠商、運營商甚至安全公司。

比爾茲利稱，他目前還不清楚是否有廠商修補了他發(fā)現(xiàn)的WebView漏洞。但他還是強(qiáng)烈呼吁谷歌重新考慮這一政策。