對於不再修補Android 4.3 (Jellybean)以及 以前版本的WebView漏洞,Google說明指出,這個做法就安全來說不切實際,而且舊版使用者只要採行一般的安全措施就可確保手機使用的安全。

WebView是Android裝置中用來描繪網頁的核心元件,上周安全公司指出,Google在Android 4.4(KitKat)中改用與Chrome瀏覽器一致、以Chromium專案為基礎的WebView版本,並決定不再修補Android 4.3及之前的WebView漏洞,恐怕將讓10億Android裝置曝露於資安風險中。

Android首席安全工程師Adrian Ludwig對此提出說明指出,Google花費很大心力在確保Android及Chrome的安全,而這需要經常更新。Android的OEM廠商在Google協助下持續加速裝置的更新,快速推出具備最新Android的產品。同時Google也透過Android開放源碼專案(AOSP)提供現有Android版的修補程式,並直接提供至少最新兩個版本Android的修補程式給合作夥伴。

Ludwig表示,WebView及瀏覽器是Google安全工作上長足進步的領域之一。Android4.4(Kitkat)讓OEM夥伴可利用Google提供的WebView執行binary update,而到Android 5.0(Lollipop)更可以直接透過Google Play更新,讓OEM什麼都不用做。先前Google都還提供Android 4.3及以前版本上WebView所使用的WebKit版本的反向移植修補程式(backport),但光是WebKit就有超過500萬行程式碼,上百名開發人員每個月都為它做數千次增修,有時為了修補2年以上的舊版WebKit得動到大量程式碼,對安全而言,這作法已不切實際。他指出,Android 4.4釋出後,隨著愈來愈多用戶升級到新裝置,受舊版Webkit安全問題影響的用戶也大幅減少。

對於還沒有升級到最新Lollipop的用戶,Google表示,還是有方法免於WebKit漏洞攻擊,像是使用透過Google Play更新的瀏覽器,並且遵循安全最佳實作,只從可信賴的來源下載內容到WebKit等。

Google提醒用戶應該要確定瀏覽器有自己的內容轉換引擎(content renderer),而且要定期更新,像Chrome支援Android 4.0以上版本,而Firefox則支援Android 2.3以上版本,兩者都可在Google Play下載最新安全版本。

 


Advertisement

更多 iThome相關內容