《福布斯》提到 近1000亿Android智能手机用户 那些系统上没有安装最新版本 Lollipop 的用户将面临恶意攻击的风险,因为 Google 不会继续发布适用于 Android 4.3 及以下版本的 WebView 工具的更新。
Rapid7公司发现Google开始终止程序 去年对Android 5.0 Lollipop以外的设备的WebView支持。 WebView通常在Android(基于WebKit的呈现引擎)中使用,该引擎无需打开另一个应用程序即可显示网站。 除了成为Android漏洞中最常用于远程代码执行的媒介之一之外,这意味着它可以被Microsoft平台的攻击者用作途径,这意味着缺乏更新的未来问题成为Android的真正问题。没有棒棒糖的用户。
使用Android 0.1 Lollipop的用户占5.0%
无论如何,谷歌 如果修补程序来自开发人员,它将发布WebView的将来安全更新。 第三方,这家公司称为Rapid7,对于该实体的公司来说,这是一个相当奇怪的举动。
过去几个月,Google在发布Android Lollipop时从操作系统中删除了WebView,从而摆脱了它的困扰。 如果您还必须拥有Lollipop才能进行自动下载,并在Android上造成碎片,这仅是最新数据 0.1%的用户拥有棒棒糖,这个问题似乎比实际大。
使用Android 4.3或更低版本的用户的问题
Android 4.3或更低版本的用户可能会放心,因为攻击者 他们在尝试通过WebView时可能会遇到某些限制。 他们从《福布斯》本身澄清,要成功进行攻击,他们将必须访问选定应用程序在网页上显示的代码。
用户必须避免这种情况的一种方式 不会安装未知的应用程序,而只能从Play商店执行此操作。 这意味着某些应用程序存储库会遭受后果,许多用户想知道这是否真的是安装最佳Android应用程序的最佳方法。
另一种方式是 Google投入精力,时间和资源 这样一来,数百万的用户就不会处于危险之中;如果Google声称用户永远是第一位,则更多。