不忘初心 牢记使命
网络强国 科技创新
本文由腾讯数码独家发布
目前,谷歌安卓系统设备在全球已经拥有超过20亿的用户,因此对谷歌来说,如何确保这些数量惊人的设备的安全性也非常重要。但最近根据国外媒体报道,一直以来都有一个“非常严重”的漏洞在5年多的时间里都没有被发现,而攻击者可以利用这个漏洞监视用户并随时访问他们的账户。随着这一漏洞的曝出,我们也再次提醒大家安卓系统的开源特性虽然被很多人津津乐道,但同时系统的碎片化和分散性,也为整个安卓令人印象深刻的开源触角也为保护分散的生态系统带来了挑战。
威胁检测公司Positive Technologies的移动安全研究员谢尔盖·托申(Sergey Toshin)首先发现了这个漏洞,该漏洞来自于Chrome和其他许多浏览器使用的开源项目Chromium。因此,攻击者不仅可以攻击移动Chrome浏览器,还可以攻击其他基于Chrome开发的移动浏览器。更具体地说,Chromium power为安卓系统提供了一项名叫WebView的功能,当用户点击游戏或社交网络中的链接时,它就会开始在后台悄悄工作。正是因为有了整个Chrome浏览器的漏洞,黑客可以利用WebView直接抓取用户数据,获得关于设备更广泛的访问权限。
托申表示:“攻击者可以对安卓设备上任何基于Chrome开发的移动浏览器发起攻击,包括谷歌Chrome、三星移动浏览器和Yandex浏览器等,并从其WebView中检索用户的数据。”
更糟糕的是,自从2013年的Android 4.4 Kitkat(也是首个可以支持“Ok谷歌”的安卓版本)以来,这个bug就一直存在于每一个后续的安卓版本中,而这也是第一个在谷歌键盘中包含表情符号的版本。怎么样,听起来是不是觉得有些不可思议?
据悉,攻击者利用这个漏洞,可以通过欺骗受害者安装包含WebView的恶意应用程序,并利用该漏洞,获得对受害手中的设备最稳定、最长期的访问权限。但托申也指出,攻击者也可能利用这个漏洞,通过欺骗用户点击一个恶意链接,获得更多不适当的设备访问权限,然后通过安卓的Instant App功能打开这个恶意链接。该组件允许用户立即运行应用程序的一个版本,而无需实际安装它。在这种情况下,攻击者虽然不会拥有长久的访问权限,但会有一个有限的时间窗口方位来开始收集用户的数据或有关其移动帐户的信息。无论哪种方式,所有这些过程都是在后台非常安静、默默的完成,用户根本不会发现。
“在大多数情况下,用户几乎不可能发现它的存在。”托申说。
Positive Technologies在今年1月份向谷歌披露了这个漏洞,并在当月末将其作为Chrome 72的一部分进行了安全补丁更新。目前原型Android 7或更高版本的设备应该能够通过普通的Chrome更新来获得这一安全补丁,但是运行Android 5和Android 6系统版本的设备需要通过Google Play商店为WebView安装一个特殊的更新才行。这对开启自动升级的安卓用户来说很有大的帮助,否则用户就必须自己安装升级补丁。托昆和谷歌均表示,像亚马逊Kindle这样基于安卓系统开发的设备,如果不包含Google Play功能,那么就需要硬件设备制造商单独开发一个特殊的补丁。而这就是安卓分散的系统版本和用户群在修复设备遇到的漏洞时面临的最大障碍。
谷歌还指出,该公司并没有发布针对Android 4.4版本系统的补丁,因为该操作系统已经运行了五年多,而且目前在全球只有极少数设备还在运行该版本系统。但根据谷歌之前自己公布的数据显示,目前仍有7.6%的安卓设备使用Android Kitkat系统,如果按照20亿的安装数量统计来看,这大约是1.52亿设备。要知道这个数字甚至比目前最新版本的Android 8.1 Oreo还要高,后者目前的升级率为7.5%。
谷歌一直以来都在致力于提高其跨设备和平台之间推送补丁更新的能力和效率,并将制造商之间存在的碎片化和差异化问题所带来的影响降至最低。但目前来看,谷歌想要实现这一目标还有很长的路要走。而且由于安卓在世界各地的不同环境和价格区间内分布非常广泛,而且无处不在,因此根据现实情况来看,老版本安卓设备仍将在相当长的一段时间内进行使用。
咨询热线
地址:深圳市龙岗区坂田街道坂田国际中心E栋二层209房