Google dừng vá các lỗ hổng trên các phiên bản Android cũ

Các lỗ hổng được tìm thấy trong WebView và trong những thành phần khác của các phiên bản Android cũ sẽ không còn được vá bởi Google, các nhà nghiên cứu cảnh báo.

Webview là một thành phần được sử dụng để hiển thị trang Web trên điện thoại thông minh Android. Bắt đầu với Android 4.4 (KitKat). Goolge đã giới thiệu một phiên bản Webview mới dựa trên dự án mã nguồn mở Chromium.Vấn đề ở chỗ các nhà nghiên cứu như Rafay Baloch và Joe Vennix đến từ Rapid7 đã tìm thấy và tiếp tục tìm ra hàng loạt lỗ hổng trên WebView cũ được sử dụng mặc định bởi Android Open Source Platform (AOSP) trên các phiên bản trước KitKat. Công cụ kiểm thử nổi tiếng Metasploit cũng bao gồm các khai thác dành cho 11 lỗ hổng này.

Tuy nhiên, dường như Google đã dừng việc vá bất kì lỗ hổng nào ảnh hưởng trên WebView, mặc dù hơn 60% các thiết bị vẫn chạy Android Jelly Bean (4.1-4.3), Ice Cream Sandwich (4.0), Gingerbread (2.3), và Froyo (2.2). Theo các nghiên cứu mới đây, gần 930 triệu thiết bị sử dụng hệ điều hành của Google được cho là lỗi thời.

Đội ngũ bảo mật của Google thông báo cho các nhà nghiên cứ tại Rapid7 rằng họ sẽ không phát triển các bản vá dành cho WebView các phiên bản trước 4.4. Thay vào đó, mong muốn những nhà nghiên cứu báo cáo lỗi sẽ gửi lên bản vá của họ. Google vẫn chưa thông báo chính thức cho khách hàng rằng hệ điều hành cũ của họ đang sử dụng đã đến thời điểm kết thúc. Cách tốt nhất để đảm bảo các thiết bị Android bảo mật là cập nhật phiên bản Android mới nhất.

Securityweek