Android老玩家很傷心！Google 不再主動修補 Android 4.3 以前的WebView安全漏洞

還沒更新最新版 Android 的用戶要小心了，根據國外資安業者 Rapid7 的報導指出，Google 將不再主動修補 Android 4.3 （Jelly Bean），以及之前版本的 WebView 漏洞，但開放舉發者附上修補程式，並會提知 OEM 廠商，而目前使用 Android 4.3 之前版本的使用者，大約占了 6 成，這也表示會有近半的 Android 用戶受到影響。

Google：不再主動開發 WebView 修補程式

Rapid7 的測試研究人員 Tod Beardsley 指出，於 Android 4.3（Jelly Bean）及之前版本使用的 WebView，是 Android 中的非瀏覽器網頁檢視工具，在 Android 裝置中用來描繪網頁的核心元件， 無法執行 JavaScript，且會忽略網頁錯誤，但允許應用程式在不開啟另一個應用程式下，顯示網頁內容，所以用來閱讀網頁沒有問題，還可進行網頁的縮放及文字搜尋。也因為具有與 Android 其他程式互動的特性，而成為攻擊者入侵時的目標。

然而，在 Beardsley 向 Google 提報 WebView 漏洞時，Android 的安全團隊負責窗口表示，在 Android 4.4（KitKat） 中已改用了與 Chrome 瀏覽器一樣，以 Chromium 為基礎的 WebView 版本，所以若是受影響的是 Android 4.4 之前的版本，Google 將不再自行開發修補程式，但歡迎舉發者可以附上相關的修補程式，也將會再通知其他 OME 廠商。

對此結果，Beardsley 表示意外，畢竟 Google 為 Android 的開發者，且預期會影響相當多的 Android 用戶，對於 Google 不再主動更新修補程式的回應，感到十分的意外，但再次向 Google 確認後，仍是得到相同的結果。

▲Android 4.4（KitKat） 中已改用了與 Chrome 瀏覽器一樣，以 Chromium 為基礎的 WebView 版本，但 Android 4.3 以前的版本，就不再主動更新安全程式。

 近六成 Android 用戶受影響

不過，根據 Google 公布截至 1 月 5 日為止的 Android 平台使用狀態，在最新 Android 5.0 版本，目前使用的裝置較少，暫不列入統計的前提下，當前最多裝置使用的 Android 版本為 Android 4.4，大約占了 39.1%。換句話說，有 60.9% 的用戶是使用 Android 4.3 以下的版本，若是 Google 不再自動修補 WebView 程式的漏洞，會有 6 成以上的用戶受到影響，Beardsley 引用 Gartner報告推估指出，將相當於有 9.3 億的 Android 裝置曝於風險之中，數量其實很高。

▲根據 Google 的統計，目前使用 Android 4.4 版本的裝置大約為 39.1%，有 60.9% 的用戶是使用 Android 4.3 以下的版本。

參考資料：Rapid7、Developer

延伸閱讀：

為什麼你的 Android 無法獲得升級？SoC 廠商才是關鍵因素

首款 Android 5.0 平板電腦 Google Nexus 9 動手玩

Half-Life 2移植Android平台，SHIELD、PC遊戲畫質實測

實測怎麼在電腦 Chrome瀏覽器執行 Android App ？

關於 Android L 的五個冷知識，到底還有什麼是我們不知道的