前段時(shí)間谷歌在微軟發(fā)布修復(fù)補(bǔ)丁的兩天前披露一項(xiàng)Windows漏洞之事曾經(jīng)引發(fā)軒然大波，而如今谷歌也由于自家軟件的更新問(wèn)題而被推到了風(fēng)口浪尖之上。

盡管已出現(xiàn)數(shù)次前車(chē)之鑒，此番Android 4.3及更早版本中的WebView組件再度曝出存在安全漏洞。WebView是一套可嵌入式瀏覽器控制方案，其以Android應(yīng)用程序中所使用的某個(gè)WebKit渲染引擎版本作為運(yùn)作基礎(chǔ)。

Android 4.4以及5.0版本的WebView轉(zhuǎn)而使用Blink而不再依賴(lài)于WebKit，因此并未受到此次事件的影響。不過(guò)根據(jù)谷歌公司自己的統(tǒng)計(jì)數(shù)據(jù)，約有六成Android用戶(hù)仍在使用這套操作系統(tǒng)的4.3以及更早版本。有鑒于此，這次披露的安全漏洞將產(chǎn)生普遍而嚴(yán)重的負(fù)面影響。常規(guī)處理流程是將該漏洞報(bào)告給谷歌方面，并由谷歌開(kāi)發(fā)修復(fù)補(bǔ)丁、隨后作為Android開(kāi)源項(xiàng)目的一部分予以發(fā)布。

然而根據(jù)Metasploit安全測(cè)試框架開(kāi)發(fā)者Tod Beardsley在文章中所言，這一次情況將有所不同。雖然Android安全團(tuán)隊(duì)已經(jīng)得到了與該問(wèn)題有關(guān)的提醒，但其反饋意見(jiàn)卻是：

如果受到影響的（WebView）版本早于4.4，我們基本上不會(huì)親自就此開(kāi)發(fā)修復(fù)補(bǔ)丁，但歡迎其它方面提供值得考量的補(bǔ)丁方案。除了通知OEM合作方之外，我們將不會(huì)對(duì)就4.4及更早版本所受影響作出說(shuō)明、但未附帶實(shí)際補(bǔ)丁的提交報(bào)告作出任何實(shí)質(zhì)性處理。

谷歌公司將向各OEM合作方通報(bào)這項(xiàng)問(wèn)題，但無(wú)意對(duì)其加以修復(fù)。在進(jìn)一步追問(wèn)下，Android開(kāi)發(fā)團(tuán)隊(duì)給出了這樣的回應(yīng)：

如果受到影響的（WebView）版本早于4.4，我們基本上不會(huì)親自就此開(kāi)發(fā)修復(fù)補(bǔ)丁，但將對(duì)可能受其影響的合作伙伴發(fā)出提醒。如果相關(guān)報(bào)告中附帶修復(fù)補(bǔ)丁或者AOSP獲得相關(guān)應(yīng)對(duì)代碼，我們將樂(lè)于將其提供給各合作伙伴。

經(jīng)過(guò)進(jìn)一步核實(shí)，Android開(kāi)發(fā)團(tuán)隊(duì)表示Android 4.3版本當(dāng)中的媒體播放器等組件會(huì)接收后端補(bǔ)丁，但WebView卻完全依托于自身。盡管目前谷歌似乎尚未給出明確的淘汰結(jié)論，但Android 4.3的WebView幾乎已經(jīng)在實(shí)質(zhì)層面走到了生命周期的盡頭。WebView控制機(jī)制在大部分Android手機(jī)上仍在發(fā)揮作用，甚至在目前在售的部分Android手機(jī)上亦繼續(xù)存在，因此其缺乏支持與安全性保障的現(xiàn)狀確實(shí)令人難以安心。

更糟糕的是，谷歌公司甚至并沒(méi)有就那些得到通報(bào)或者修復(fù)的Android安全漏洞提供太多說(shuō)明信息。Beardsley寫(xiě)道，谷歌為已修復(fù)安全漏洞準(zhǔn)備的惟一說(shuō)明就是在將對(duì)應(yīng)修復(fù)補(bǔ)丁整合進(jìn)AOSP時(shí)的提交信息。而在某項(xiàng)漏洞未得到修復(fù)時(shí)，此類(lèi)提交信息自然也不復(fù)存在，也就相當(dāng)于用戶(hù)根本得不到有關(guān)該問(wèn)題的任何公開(kāi)記錄。

當(dāng)然，谷歌為Android 4.3以及更早版本提供補(bǔ)丁還僅僅是解決問(wèn)題的***步。OEM廠商接下來(lái)需要將補(bǔ)丁納入自己的固件更新方案，移動(dòng)運(yùn)營(yíng)商則需要驗(yàn)證并對(duì)這些固件更新作出進(jìn)一步定制化調(diào)整，因此在實(shí)際執(zhí)行過(guò)程中、仍有大量Android用戶(hù)根本得不到這些修復(fù)補(bǔ)丁。但需要強(qiáng)調(diào)的是，如果沒(méi)有谷歌邁出的這***步，那么就連這一丁點(diǎn)解決問(wèn)題的可能性都將消失殆盡。

但在過(guò)去，上述難關(guān)并沒(méi)有阻擋谷歌公司開(kāi)發(fā)安全更新舉措的腳步; 就在去年四月，該公司還曾為Android 4.1提供過(guò)針對(duì)Heartbleed漏洞的修復(fù)補(bǔ)丁。OEM合作方雖然對(duì)該更新的交付作出諸多限制，但至少用戶(hù)已經(jīng)獲得了可資選擇的解決方案。而此次曝出的WebView問(wèn)題則干脆不具備任何形式的應(yīng)對(duì)措施。

從原則上講，大部分運(yùn)行著Android 4.3以及更早版本的手機(jī)設(shè)備都能夠接收到適用于4.4甚至是5.0系統(tǒng)版本的大型更新，并通過(guò)這種方式實(shí)現(xiàn)漏洞清除。然而實(shí)際情況遠(yuǎn)沒(méi)有那么樂(lè)觀，各大OEM廠商往往不愿意采取此類(lèi)大型更新; 根據(jù)我們對(duì)于智能手機(jī)制造商的了解，單純出于安全修復(fù)角度的理由而指望他們采納***系統(tǒng)版本根本不切實(shí)際。當(dāng)然，OEM廠商的立場(chǎng)也可以理解。一家移動(dòng)設(shè)備制造商在通過(guò)手機(jī)發(fā)布定制化Android 4.3版本之后，往往會(huì)發(fā)現(xiàn)針對(duì)現(xiàn)有定制版本發(fā)布新的4.3版本補(bǔ)丁要遠(yuǎn)比更新至Android 4.4或者5.0版本更輕松。保持現(xiàn)有系統(tǒng)版本能夠?qū)⒆儎?dòng)控制在***程度，因此對(duì)相關(guān)工作量的要求也能得到有效縮減。

谷歌公司的立場(chǎng)則更為復(fù)雜，因?yàn)樗麄兏緹o(wú)力對(duì)手機(jī)上的系統(tǒng)平臺(tái)進(jìn)行強(qiáng)制更新。正如Android手機(jī)上并不提供Windows Update，谷歌也沒(méi)有能力直接將更新推送至操作系統(tǒng)當(dāng)中; 他們必須依賴(lài)各家OEM廠商以及網(wǎng)絡(luò)運(yùn)營(yíng)商，才能實(shí)現(xiàn)源代碼變更并將其分發(fā)至用戶(hù)手中。相比之下，蘋(píng)果與微軟都擁有能夠?qū)ζ湟苿?dòng)操作系統(tǒng)進(jìn)行直接更新的官方渠道。

事實(shí)上，谷歌惟一能夠?qū)崿F(xiàn)的就是通過(guò)Play Store基礎(chǔ)設(shè)施對(duì)移動(dòng)設(shè)備上的應(yīng)用程序進(jìn)行更新。在每一次推出Android新版本的同時(shí)，谷歌都會(huì)將更多功能塞進(jìn)安裝包當(dāng)中，其中包括Google Play服務(wù)與Google Play Store等運(yùn)行在核心Android操作系統(tǒng)之上的方案。這些安裝包能夠通過(guò)Play Store系統(tǒng)實(shí)現(xiàn)更新與維護(hù)，而在Android 5版本中、WebView控制機(jī)制也被納入這一范疇。因此從現(xiàn)在開(kāi)始，WebView組件已經(jīng)能夠在谷歌的直接管理下實(shí)現(xiàn)更新——不過(guò)在WebView仍屬于核心開(kāi)源Android操作系統(tǒng)組成部分的版本當(dāng)中，這一安全問(wèn)題將繼續(xù)存在。順帶一提，根據(jù)谷歌自身作出的估算，目前Android 5.0的服務(wù)對(duì)象在全部Android用戶(hù)當(dāng)中僅占不足0.1%比例。

這種對(duì)服務(wù)以及維護(hù)機(jī)制的改進(jìn)也成為谷歌將更多功能添加到APK當(dāng)中——即脫離于Android操作系統(tǒng)之外——的重要理由。不過(guò)此類(lèi)措施對(duì)于高達(dá)六成的Android用戶(hù)仍然未能起到任何作用，他們每一次點(diǎn)擊鏈接并通過(guò)Twitter客戶(hù)端內(nèi)置瀏覽器進(jìn)行訪問(wèn)時(shí)、還在繼續(xù)遭受?chē)?yán)重的安全威脅。

英文原文：http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/