|
|
谷歌停止修補(bǔ)核心安卓組件設(shè)備的60% 遠(yuǎn)程控制軟件,灰鴿子
WebView優(yōu)柔寡斷和舊的操作系統(tǒng)版本不再從谷歌獲得修補(bǔ)愛情,Rapid7研究員說
1.jpg (83.19 KB, 下載次數(shù): 634)
下載附件
2015-1-13 14:27 上傳
谷歌已經(jīng)停止修補(bǔ)一個(gè)核心組件的Android版本比4.4 v,又名“KitKat”安全研究員說今天,他敦促該公司重新考慮的政策可能會(huì)讓60%以上的Android用戶未來容易受到攻擊。
周一,托德比爾茲利,安全廠商Rapid7工程經(jīng)理聲稱,谷歌的安全團(tuán)隊(duì)說他們不會(huì)工藝修復(fù)缺陷的WebView Android 4.3以上。Android 4.3,前任KitKat更好的被稱為“果凍豆”,灰鴿子使用教程 。
WebView股票是一個(gè)操作系統(tǒng)核心組件,權(quán)力Android瀏覽器包含軟心豆粒糖——谷歌取代,與Chrome瀏覽器KitKat和被稱為應(yīng)用程序在早些時(shí)候KitKat和顯示一個(gè)Web頁面。(控制力的WebView分離出來的操作系統(tǒng)Android 5.0,又名“棒棒糖”。)
“(WebView)是任何應(yīng)用程序的方式呈現(xiàn)Web頁面或基于Web的內(nèi)容,如應(yīng)用內(nèi)廣告,”比爾茲利在接受采訪時(shí)表示。”,WebView是Android的攻擊向量。的Android設(shè)備和互聯(lián)網(wǎng)的方式,如果我攻擊者會(huì)利用WebView通過一個(gè)網(wǎng)站,希望人們會(huì)點(diǎn)擊它。”
根據(jù)比爾茲利,Android安全響應(yīng)團(tuán)隊(duì)首先回應(yīng)bug報(bào)告,“我們't-patch-WebView-anymore”回復(fù)10月中旬,之后他提交一個(gè)漏洞類似于谷歌處理和快速修補(bǔ)兩周前。
“如果影響版本(WebView)在4.4之前,我們通常不開發(fā)補(bǔ)丁,但歡迎補(bǔ)丁的報(bào)告考慮,“通過電子郵件響應(yīng)團(tuán)隊(duì)告訴比爾茲利。“除了通知oem,我們將無法采取行動(dòng)的任何報(bào)告影響版本4.4之前不是伴隨著一片。”
谷歌沒有回復(fù)請(qǐng)求確認(rèn)的政策,或評(píng)論比爾茲利今天的長(zhǎng)博文。比爾茲利稱為實(shí)踐“大”和“令人震驚”。
“Android有巨大的安裝基礎(chǔ),”他說,并指出WebView不會(huì)打補(bǔ)丁的版本由谷歌占60%以上的安裝基礎(chǔ)。
“我知道這是一個(gè)巨大的麻煩永遠(yuǎn)支持的事情,”比爾茲利說。“開發(fā)人員,每天打電話。但大多數(shù)支持優(yōu)柔寡斷的人,因?yàn)樗麄儾幌虢档妥约旱?大部分)的Android市場(chǎng)。”
他也批評(píng)谷歌不明確什么組件,說,優(yōu)柔寡斷的人或者不支持。“他們應(yīng)該告訴人們是什么,什么不是支持,”比爾茲利補(bǔ)充道。“今天,沒有什么在開發(fā)者文檔提到生命的結(jié)束。灰鴿子遠(yuǎn)控,灰鴿子破解版”
同樣的批評(píng)也針對(duì)蘋果,不顯式地說明它支持多久每個(gè)版本的OS X或iOS。
盡管iOS沒有寫臨終政策和蘋果很少補(bǔ)丁的舊版本iOS——它不是告訴客戶升級(jí)——公司通常支持幾代的最新版的iOS的設(shè)備。然而,蘋果和谷歌之間的區(qū)別是鮮明的升級(jí)和更新時(shí),前者為客戶提供直接,而谷歌不。谷歌的做法導(dǎo)致了更大比例的設(shè)備運(yùn)行舊的操作系統(tǒng)比蘋果的。
比爾茲利幾乎同樣重要的是,谷歌并沒有相同的政策適用于所有部分的果凍豆。“這不是生命的終結(jié)所有的Android 4.3版本,或者優(yōu)柔寡斷的人,”比爾茲利說。當(dāng)他提出了一個(gè)假設(shè)的Android安全響應(yīng)團(tuán)隊(duì)是否補(bǔ)丁漏洞在果凍豆的音頻播放器,例如,比爾茲利被告知谷歌解決這個(gè)缺陷。“這種不公平待遇不同的組件將會(huì)被迷惑,”他預(yù)測(cè)。
增加了不確定性,一些設(shè)備制造商或航空公司可能補(bǔ)丁特定WebView錯(cuò)誤解釋的Android,而另一些則不會(huì)。谷歌表示,盡管它不會(huì)解決這種漏洞本身,它會(huì)接受別人的補(bǔ)丁,甚至包括設(shè)備制造商、運(yùn)營(yíng)商和安全研究人員。
比爾茲利說,這不是未知的研究者提供補(bǔ)丁缺陷發(fā)現(xiàn)和報(bào)道。
在博客中,比爾茲利問谷歌重新考慮其明顯no-patch政策WebView優(yōu)柔寡斷的人及以上。“谷歌的工程團(tuán)隊(duì)往往是最好的在很多事情,包括Android操作系統(tǒng)開發(fā),所以看到他們離開安全的游戲在這方面大大地有關(guān),”他寫道。“我希望谷歌反思。”
目前,Rapid7 Metasploit滲透測(cè)試框架包括幾個(gè)利用模塊依賴于應(yīng)用補(bǔ)丁的WebView漏洞在果凍豆,比爾茲利證實(shí)。 |
|
加載中...
發(fā)表于 2015-1-13 14:28:03
QQ好友和群
收藏
發(fā)表于 2015-1-13 14:28:05