首页> 安全资讯 > 谷歌放弃老版本将致9.3亿Android手机面临安全威胁

谷歌放弃老版本将致9.3亿Android手机面临安全威胁

发布时间:2015-01-19

近日,安卓安全团队透露针对Android4.4之前版本的漏洞除了通知原始设备制造商(OEM)之外,将不再采取任何措施来应对。根据谷歌发布的数据,虽然自从2013年10月份就已发布Android4.4系统,但是约60%的移动用户仍然使用的是4.4之前的系统版本,这意味着超过9.3亿的Android手机将失去谷歌官方安全补丁的支持。

Android手机安全形势严峻

安全专家Todd Bearsley在Rapid7 Security Street上发布了一篇有趣的博文,文中解释说目前Metasploit框架中包含11种针对WebView的不同漏洞利用程序。

“WebView是Android设备中用于渲染web页面的核心组件。在Android KitKat(4.4)中该组件被另一个基于Chromium的WebView所替代,而谷歌的Chrome浏览器使用的也正是该组件。”安全社区意识到旧版本Android系统中的WebView组件非常脆弱。就在1年前,Rapid7 发布了“exploit/android/browser/webview_addjavascriptinterface”模块,该模块使得攻击者能够远程访问大多数Android设备。

很不幸的是,目前在用户使用的Android设备中,约60%仍旧依赖于包含漏洞的WebView组件,并且Android4.4之前的所有版本都会受该漏洞的影响。

Android手机中的漏洞将长时间持续

安全专家指出Android手机面临的这种安全威胁将长期存在,因为大部分用户付不起升级手机的费用,所以没有其他选择,只能买上市已久的Android手机。最新的谷歌Nexus零售价约为660美元,而亚马逊上第一款Android手机的零售价才70美元。两者的差价将近10倍,这就意味着两个差别非常大的用户基础:一个是不介意花费几百美元来买一个新手机,另一个则是买不起价格超过100美元的手机。所有加在一起,则有约2/3的用户基本没有经济能力去升级自己的移动设备,也就意味着旧有Android手机中的漏洞利用将会持续很长时间。

同时,近年来针对Android手机进行攻击的移动恶意软件数量呈现指数级增长,这就需要OEM、移动应用开发者及移动应用安全保护平台联合起来,共同维护用户指尖上的安全。


加入收藏