前段時間谷歌在微軟發布修復補丁的兩天前披露一項Windows漏洞之事曾經引發軒然大波，而如今谷歌也由于自家軟件的更新問題而被推到了風口浪尖之上。

盡管已出現數次前車之鑒，此番Android 4.3及更早版本中的WebView組件再度曝出存在安全漏洞。WebView是一套可嵌入式瀏覽器控制方案，其以Android應用程序中所使用的某個WebKit渲染引擎版本作為運作基礎。

Android 4.4以及5.0版本的WebView轉而使用Blink而不再依賴于WebKit，因此并未受到此次事件的影響。不過根據谷歌公司自己的統計數據，約有六成Android用戶仍在使用這套操作系統的4.3以及更早版本。有鑒于此，這次披露的安全漏洞將產生普遍而嚴重的負面影響。常規處理流程是將該漏洞報告給谷歌方面，并由谷歌開發修復補丁、隨后作為Android開源項目的一部分予以發布。

然而根據Metasploit安全測試框架開發者Tod Beardsley在文章中所言，這一次情況將有所不同。雖然Android安全團隊已經得到了與該問題有關的提醒，但其反饋意見卻是：

如果受到影響的（WebView）版本早于4.4，我們基本上不會親自就此開發修復補丁，但歡迎其它方面提供值得考量的補丁方案。除了通知OEM合作方之外，我們將不會對就4.4及更早版本所受影響作出說明、但未附帶實際補丁的提交報告作出任何實質性處理。

谷歌公司將向各OEM合作方通報這項問題，但無意對其加以修復。在進一步追問下，Android開發團隊給出了這樣的回應：

如果受到影響的（WebView）版本早于4.4，我們基本上不會親自就此開發修復補丁，但將對可能受其影響的合作伙伴發出提醒。如果相關報告中附帶修復補丁或者AOSP獲得相關應對代碼，我們將樂于將其提供給各合作伙伴。

經過進一步核實，Android開發團隊表示Android 4.3版本當中的媒體播放器等組件會接收后端補丁，但WebView卻完全依托于自身。盡管目前谷歌似乎尚未給出明確的淘汰結論，但Android 4.3的WebView幾乎已經在實質層面走到了生命周期的盡頭。WebView控制機制在大部分Android手機上仍在發揮作用，甚至在目前在售的部分Android手機上亦繼續存在，因此其缺乏支持與安全性保障的現狀確實令人難以安心。

更糟糕的是，谷歌公司甚至并沒有就那些得到通報或者修復的Android安全漏洞提供太多說明信息。Beardsley寫道，谷歌為已修復安全漏洞準備的惟一說明就是在將對應修復補丁整合進AOSP時的提交信息。而在某項漏洞未得到修復時，此類提交信息自然也不復存在，也就相當于用戶根本得不到有關該問題的任何公開記錄。

當然，谷歌為Android 4.3以及更早版本提供補丁還僅僅是解決問題的***步。OEM廠商接下來需要將補丁納入自己的固件更新方案，移動運營商則需要驗證并對這些固件更新作出進一步定制化調整，因此在實際執行過程中、仍有大量Android用戶根本得不到這些修復補丁。但需要強調的是，如果沒有谷歌邁出的這***步，那么就連這一丁點解決問題的可能性都將消失殆盡。

但在過去，上述難關并沒有阻擋谷歌公司開發安全更新舉措的腳步; 就在去年四月，該公司還曾為Android 4.1提供過針對Heartbleed漏洞的修復補丁。OEM合作方雖然對該更新的交付作出諸多限制，但至少用戶已經獲得了可資選擇的解決方案。而此次曝出的WebView問題則干脆不具備任何形式的應對措施。

從原則上講，大部分運行著Android 4.3以及更早版本的手機設備都能夠接收到適用于4.4甚至是5.0系統版本的大型更新，并通過這種方式實現漏洞清除。然而實際情況遠沒有那么樂觀，各大OEM廠商往往不愿意采取此類大型更新; 根據我們對于智能手機制造商的了解，單純出于安全修復角度的理由而指望他們采納***系統版本根本不切實際。當然，OEM廠商的立場也可以理解。一家移動設備制造商在通過手機發布定制化Android 4.3版本之后，往往會發現針對現有定制版本發布新的4.3版本補丁要遠比更新至Android 4.4或者5.0版本更輕松。保持現有系統版本能夠將變動控制在***程度，因此對相關工作量的要求也能得到有效縮減。

谷歌公司的立場則更為復雜，因為他們根本無力對手機上的系統平臺進行強制更新。正如Android手機上并不提供Windows Update，谷歌也沒有能力直接將更新推送至操作系統當中; 他們必須依賴各家OEM廠商以及網絡運營商，才能實現源代碼變更并將其分發至用戶手中。相比之下，蘋果與微軟都擁有能夠對其移動操作系統進行直接更新的官方渠道。

事實上，谷歌惟一能夠實現的就是通過Play Store基礎設施對移動設備上的應用程序進行更新。在每一次推出Android新版本的同時，谷歌都會將更多功能塞進安裝包當中，其中包括Google Play服務與Google Play Store等運行在核心Android操作系統之上的方案。這些安裝包能夠通過Play Store系統實現更新與維護，而在Android 5版本中、WebView控制機制也被納入這一范疇。因此從現在開始，WebView組件已經能夠在谷歌的直接管理下實現更新——不過在WebView仍屬于核心開源Android操作系統組成部分的版本當中，這一安全問題將繼續存在。順帶一提，根據谷歌自身作出的估算，目前Android 5.0的服務對象在全部Android用戶當中僅占不足0.1%比例。

這種對服務以及維護機制的改進也成為谷歌將更多功能添加到APK當中——即脫離于Android操作系統之外——的重要理由。不過此類措施對于高達六成的Android用戶仍然未能起到任何作用，他們每一次點擊鏈接并通過Twitter客戶端內置瀏覽器進行訪問時、還在繼續遭受嚴重的安全威脅。

英文原文：http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/