《福布斯》提到 近 1000 億 Android 智能手機用戶 那些系統上沒有安裝最新版本 Lollipop 的用戶將面臨惡意攻擊的風險,因為 Google 將不再發布適用於 Android 4.3 及以下版本的 WebView 工具的更新。
Rapid7 公司發現 Google 開始了終止程序 去年為沒有 Android 5.0 Lollipop 的設備提供了 WebView 支持。 WebView是Android中常用的一種基於WebKit的渲染引擎,無需打開其他應用程序即可顯示網站。 除了它是 Android 漏洞遠程執行代碼最常用的載體之一之外,這意味著它可以被 Microsoft 平台的攻擊者用作一種手段,這意味著缺乏更新將成為真正的問題。對於沒有Lollipop 的Android用戶來說是個問題。
0.1% 的用戶使用 Android 5.0 Lollipop
無論如何,谷歌 如果補丁來自開發人員,將發布 WebView 的未來安全更新 來自第三方,這家公司稱之為 Rapid7,對於該實體的公司來說,這是一個相當奇怪的舉動。
谷歌在過去幾個月發布 Android Lollipop 時,通過將 WebView 從操作系統中刪除來擺脫 WebView。 如果再加上必須有 Lollipop 才能自動下載,以及 Android 中的碎片化,這僅在最新的數據中 0.1% 的用戶擁有 Lollipop,這個問題可能看起來比實際情況更大。
Android 4.3 或更低版本用戶的問題
Android 4.3及以下版本的用戶可以放心攻擊者 他們在嘗試潛入 WebView 時可能會遇到某些限制。 從《福布斯》本身來看,他們澄清說,要成功實施攻擊,他們必須訪問所選應用程序在網頁上顯示的代碼。
用戶必須避免這種情況的方法之一 不安裝未知應用程序,僅從 Play 商店執行此操作。 這意味著某些應用程序存儲庫會遭受後果,許多用戶想知道這是否真的是安裝最佳 Android 應用程序的最佳方式。
另一種方式是 Google 投入了精力、時間和資源 這樣數百萬用戶就不會處於危險之中,特別是如果谷歌本身聲稱用戶永遠是第一位的話。