近日，安卓安全团队透露针对Android4.4之前版本的漏洞除了通知原始设备制造商（OEM）之外，将不再采取任何措施来应对。根据谷歌发布的数据，虽然自从2013年10月份就已发布Android4.4系统，但是约60%的移动用户仍然使用的是4.4之前的系统版本，这意味着超过9.3亿的Android手机将失去谷歌官方安全补丁的支持。

Android手机安全形势严峻

安全专家Todd Bearsley在Rapid7 Security Street上发布了一篇有趣的博文，文中解释说目前Metasploit框架中包含11种针对WebView的不同漏洞利用程序。

“WebView是Android设备中用于渲染web页面的核心组件。在Android KitKat（4.4）中该组件被另一个基于Chromium的WebView所替代，而谷歌的Chrome浏览器使用的也正是该组件。”安全社区意识到旧版本Android系统中的WebView组件非常脆弱。就在1年前，Rapid7 发布了“exploit/android/browser/webview_addjavascriptinterface”模块，该模块使得攻击者能够远程访问大多数Android设备。

很不幸的是，目前在用户使用的Android设备中，约60%仍旧依赖于包含漏洞的WebView组件，并且Android4.4之前的所有版本都会受该漏洞的影响。

Android手机中的漏洞将长时间持续

安全专家指出Android手机面临的这种安全威胁将长期存在，因为大部分用户付不起升级手机的费用，所以没有其他选择，只能买上市已久的Android手机。最新的谷歌Nexus零售价约为660美元，而亚马逊上第一款Android手机的零售价才70美元。两者的差价将近10倍，这就意味着两个差别非常大的用户基础：一个是不介意花费几百美元来买一个新手机，另一个则是买不起价格超过100美元的手机。所有加在一起，则有约2/3的用户基本没有经济能力去升级自己的移动设备，也就意味着旧有Android手机中的漏洞利用将会持续很长时间。

同时，近年来针对Android手机进行攻击的移动恶意软件数量呈现指数级增长，这就需要OEM、移动应用开发者及移动应用安全保护平台联合起来，共同维护用户指尖上的安全。