Android 4.3及更早版本的网络浏览器存在许多重大的安全问题,谷歌将不会再对其打补丁。如果你使用的是Android 4.3 Jelly Bean或更早版本的设备,你可能需要采取行动。
这个问题在Android 4.4和5.0中得到了解决,但超过60%的Android设备被困在不会收到任何安全修复的设备上。
为什么谷歌不再为安卓4.3的浏览器打补丁
相关:为什么您的Android手机无法获得操作系统更新,以及您可以为此做些什么
Android操作系统更新一团糟。制造商推出了大量不同的手机,并对代码进行了广泛的修改。谷歌不能简单地更新你设备上的操作系统-他们只能发布新的代码,并希望设备制造商和你的手机运营商做艰苦的工作来把它提供给你。
传统上,大多数Android组件都是在操作系统级别预装的。这包括内置的网络浏览器,名为“浏览器”。重要的是,浏览器本身和底层呈现引擎都内置于操作系统中。浏览器引擎被用于每一个使用嵌入式网络浏览器的Android应用程序,也就是众所周知的“WebView”。
这款内置浏览器基于旧版本的WebKit,最近发现了其中的一个严重缺陷,并向谷歌报告。谷歌没有办法直接向Android用户提供更新来解决这个问题。它必须通过操作系统更新来修复,这需要设备制造商和运营商来做这项工作。
可悲的是,即使当谷歌发布Android 4.3浏览器的安全更新代码时,许多设备制造商可能甚至还没有将修复程序发送给他们的用户。唯一值得庆幸的是,许多安卓设备都配备了谷歌Chrome,用户在这些设备上使用Chrome是安全的-但同样,在使用其他内置网络浏览器的应用程序时就不安全了。
大多数安卓用户都被困住了,但安卓4.4及更新版本得到了修复
相关:没有获得Android操作系统更新?下面是谷歌是如何更新你的设备的
谷歌一直在努力让Android操作系统的更新变得不那么重要,将更多功能从核心操作系统中分离出来,这样它们就可以通过Google Play进行更新。在Android 4.4中,设备制造商只需一个很小的补丁就可以快速更新内置浏览器。在Android 5.0中,浏览器由谷歌直接通过Google Play更新。
但根据谷歌自己的数据,超过60%的设备正在使用Android 4.3及更低版本。谷歌还没有为安卓4.3发布“补丁”,但是--如果他们发布了--那将取决于手机制造商和移动运营商来推出它。实际上,谷歌认为将设备升级到安卓4.4是解决之道,设备制造商应该转而致力于此。
我们并不是要在这里赦免谷歌。将浏览器深入到操作系统中,这样它就不能快速更新来修复安全漏洞,这是一个糟糕的决定,我们只能感谢他们现在改变了现代版本Android的工作方式。设备制造商和移动运营商没有及时更新设备,理应受到很大的指责。如果你的手机是按两年合同购买的,他们至少应该在合同期限内更新设备的安全更新!
如何在Android 4.3和更早版本上保持安全
但这不仅仅是谷歌和在线安全专业人士之间的一场有趣的辩论,现实是大多数Android用户都在使用易受攻击的网络浏览器,你可能就是其中之一。以下是你可以做的尽可能保持安全的方法:
安装和使用不同的网络浏览器:不要使用内置的“浏览器”应用程序来浏览网络。相反,可以从Google Play安装Mozilla Firefox或Google Chrome等浏览器。Chrome只能在Android 4.0和更高版本上运行,但Mozilla Firefox仍然可以在Android 2.3姜饼上运行。这些浏览器包括它们自己的呈现引擎,因此它们不使用系统的浏览器引擎。它们也经常通过Google Play更新。无论如何,如果您的旧设备带有较旧的内置浏览器代码,您可能会发现这些浏览器比内置浏览器更快! 避免使用嵌入式网络浏览器浏览:仅仅使用第三方浏览器并不能解决所有问题,因为如果你在应用程序中使用嵌入式网络浏览器,你仍然会面临风险-这些浏览器会使用系统的“WebView”,这是容易受到攻击的。如果您的Android版本易受攻击,请避免使用嵌入式浏览器进行浏览。坚持使用专用的浏览器应用程序,比如Firefox或Chrome。
谷歌实际上推荐Android应用程序开发者在Android 4.3及更早版本的应用程序中捆绑浏览器引擎。这是他们确保其内置浏览器安全的唯一方法。这是围绕Android本身腐烂的浏览器代码的肮脏黑客攻击。*这是一个相当疯狂的建议,但开发人员可能真的想要考虑这一点-特别是如果安全对应用程序特别重要的话。
那么,这到底有多大的风险呢?嗯,我们还没听说有人在利用它。但谷歌发出的明确信号-目前所有Android设备中约60%将不会收到浏览器安全补丁-肯定受到了攻击者的欢迎。我们预计,我们不会看到Android浏览器漏洞进入各种大众市场漏洞集合,因为谷歌放弃了大多数Android设备上使用的浏览器,留下了一个巨大的漏洞,可以自由利用,而不会有补丁无法解决问题的风险。
这有点像仍在使用Windows XP的安全问题-如果Windows XP在被放弃时仍被大多数用户使用。是的,Android生态系统是一团糟。谷歌应该有可能向他们的用户提供浏览器安全更新,但事实并非如此。