[[127122]]

由于需要打理的代碼規模太過龐大，谷歌確認其不會對高達六成Android硬件上的WebView組件進行補丁修復。

谷歌于上周五進一步確認了其中止對WebView提供補丁修復的決定——所謂WebView，屬于Android 4.4 “奇巧”之前各版本中的核心組件——并表示這是考慮到規模龐大的代碼庫在修復過程中可能存在安全隱患。

“直到最近，我們還一直在為Android 4.3以及早期版本中WebView所使用的WebKit版本提供支持，”Android開發團隊首席安全工程師Adrian Ludwig在Google+上寫道。“不過單是WebKit本身的代碼量已經超過500萬行，而且每個月仍有成百上千位開發者向其中添加上萬條貢獻。因此在這種情況下，將漏洞補丁應用至誕生已超過兩年的WebKit分支當中很可能會給代碼內的重要部分造成影響，且無法在實際層面保障安全性。”

Ludwig的意見是在回應本月早些時候由Tod Beardsley發布的驚人結論，這位效力于安全方案供應商Rapid7公司的工程經理認為，谷歌的安全團隊將不再對Android 4.3及其早期版本中WebView所存在的安全漏洞作出修復。Android 4.3，也就是奇巧的上一個版本，正是赫赫有名的果凍豆。

WebView的作用在于為果凍豆當中的Android瀏覽器提供運作支持——谷歌在奇巧版本中將這一瀏覽器替換為Chrome——而在奇巧及之前版本當中，應用程序在顯示Web頁面時也會對其進行調用。（WebView迎來的下一次重大轉變源自Android操作系統的5.0版本，即‘Lollipop’）。

由于不僅作用于谷歌移動瀏覽器核心、同時也會被各類應用程序進行深度調用，因此WebView當中存在的任何安全漏洞都有可能給用戶帶來嚴重威脅，Beardsley在一篇發布于今年1月12日的博文中以及同日接受Computerworld采訪時重復強調稱。

“WebView正是Android系統中的攻擊微量，”Beardsley旋即補充稱。“如果我是攻擊者，我一定會利用WebView來制作網站并希望受害者們點擊訪問。”

根據Beardsley的說法，Android安全應對團隊在去年10月首次以“我們不會再對WebView發布任何修復補丁”為內容回應了相關漏洞報告。Beardsley利用自己的博客與谷歌展開交涉，希望后者改變固執的態度、重新著手為Android各舊版本中的WebView提供修復補丁，畢竟谷歌自己也承諾WebView仍在支持著超過六成Android設備。

Ludwig證實稱WebView不會在大部分Android智能手機或者平板設備上得到任何更新，并同時給出了谷歌方面的補丁處理政策。

“我們會對Android開源項目（簡稱AOSP）中的現有Android分支版本提供修復補丁，并直接為各Android合作伙伴提供至少最近兩個主要版本的操作系統補丁。”

Beardsley對此又做何反應？

“首先，我對于谷歌公司給出的反應非常驚訝。他們通常不會就安全建議給出任何回復，”Beardsley在上周五的一次采訪中表示。但至少現在每個人都已經了解自己的Android版本是否能夠獲得安全修復。“這是谷歌方面第一次以公開態度大范圍聲明其補丁修復政策，”Beardsley補充道。“我很高興他們能夠給出這樣一種明確的態度，雖然這實際上幫不上什么忙。”

自2012年7月到2013年7月，果凍豆大版下的各個分支版本開始陸續推出，這意味著某些情況下WebView獲得了一年左右的支持周期，而該組件最多還將在未來兩年內繼續擁有官方支持。

相比之下，蘋果公司則會在新的iOS版本中對前幾代設備繼續提供支持，而且與谷歌不同的是、蘋果會將補丁直接提供給用戶。（去年發布的iOS 8仍然支持iPhone 4S及其后續機型，而iPhone 4S的正式發售時間是在2011年10月。）與此同時，微軟公司也一直為其Windows桌面操作系統提供長達10年的技術支持，Windows Phone 8.1的支持周期也達到3年——具體來講持續至2017年7月。

谷歌公司的Ludwig建議稱，在設備上運行Chrome或者Mozilla火狐瀏覽器的用戶應當定期對二者進行更新。“使用可更新的瀏覽器方案能夠保護我們遠離當前已知安全問題的侵擾，而且由于在后續使用中仍能不斷更新、因此用戶還將在未來持續獲得針對任何已知問題的保護，”Ludwig解釋道。

Ludwig同時表示，應用程序開發人員應當遵循各類安全最佳實踐，即僅加載受信內容——包括來自設備自身或者通過HTTPS交付的內容——或者自行編寫渲染器。

“其中有些建議確實不錯，但有些建議就有點莫名其妙了，”Beardsley反擊道。沒錯，他認為開發人員確實應當如Ludwig撰文將安全實踐引入日常工作，但其它部分內容呢？“這其實有點不切實際。目前市面上充斥著大量除了渲染廣告外百無一用的應用程序，而我懷疑根本就沒多少廣告網絡會使用HTTPS，”Beardsley指出。“而且自行編寫渲染器？簡直是費解。我真不知道這跟解決Android 4.3及早期版本用戶面臨的安全問題有什么關系。”

Ludwig宣稱，Android用戶已經開始由存在漏洞的果凍豆及更早版本向奇巧以及Lollipop等新版本進行升級。“由于Android 4.4的先進優勢，受到WebKit安全問題潛在影響的用戶數量每一天都在不斷降低，而且越來越多的用戶選擇升級到新版本或者直接購買新設備，”Ludwig如是說。

谷歌以及各大負責銷售Android設備的移動運營商可能會在未來提供更為及時的操作系統更新方案，但就目前而言這方面工作仍然進展緩慢。根據谷歌公司自身搜羅的統計數據顯示：截至今年1月5日，也就是最后一次數據更新時，仍有超過六成Android設備繼續運行著果凍豆或者更早版本。

目前果凍豆版本仍然在全部Android設備當中擁有36%的整體占比，幾乎與奇巧版本相當（占比為39.1%）。而新近發布的Lollipop在份額方面尚沒能達到可憐的0.1%。

“用戶們繼續使用陳舊Android版本是有理由的，”Beardsley指出。他列舉了其中幾大常見原因，包括資金緊張因此無法購買搭載有新版本Android系統的智能手機，以及大部分運營商由于偏向于銷售新硬件而非更新舊設備、因此始終在版本升級方面行動遲緩。

“在未來五年內，這一狀況將取得改善，但問題解決比例仍不可能達到100%，”Beardsley表示。“針對陳舊Android版本內漏洞所展開的攻擊活動仍將活躍并頗有市場，”他補充稱，并指出這種情況與針對Windows XP漏洞的攻擊活動非常相似。

“將高達六成的Android設備直接丟進遺留版本門類無疑簡單而且粗暴，我認為這不會起到任何積極作用，”Beardsley表示。

不過Ludwig也確實承認了這一點，Beardsley此前還曾致電谷歌、呼吁其重新考慮這一問題。

“但他們并沒有任何退讓之意，這一決定恐怕已成事實，”Beardsley無奈地指出。

英文原文：http://www.computerworld.com/article/2875136/google-defends-policy-that-leaves-most-android-devices-unpatched.html