Android是去年漏洞最多的系统,但谷歌认为这不代表系统不安全
最近,TheBestVPN 根據(jù)「美國國家標準技術(shù)研究院國家漏洞數(shù)據(jù)庫」公布的官方數(shù)據(jù),整理出了一份包含市面上常見系統(tǒng)或產(chǎn)品的「漏洞警報」。其中包括了過去二十年里漏洞最多的系統(tǒng)/產(chǎn)品。
微軟、IBM 等老牌科技公司推出的產(chǎn)品中被發(fā)現(xiàn)的漏洞數(shù)量更多,其中微軟開發(fā)的產(chǎn)品在過去 20 年(1999-2019)里一共被發(fā)現(xiàn)了 6814 個漏洞,位列第一,前五名的完整榜單如下:
1)Microsoft — 6814 個漏洞
2)Oracle — 6115 個漏洞
3)IBM — 4679 個漏洞
4)Google — 4572 個漏洞
5)蘋果 — 4512 個漏洞
但過去的一年里,由 Google 開發(fā)的 Android 系統(tǒng)一共被披露了 414 個漏洞,是 2019 年漏洞最多的系統(tǒng)。根據(jù)該報告,Android 系統(tǒng)在 2016 年和 2017 年也分別有 525 個和 843 個漏洞被發(fā)現(xiàn),這使其同樣成為了是這兩年漏洞最多的系統(tǒng)。
面對這樣的結(jié)果,Google 發(fā)言人在回應(yīng)外媒時卻發(fā)表了不一樣的看法:「我們致力于提高透明度,并每月發(fā)布關(guān)于 Android 系統(tǒng)安全問題的公共安全公告,以加強整個生態(tài)系統(tǒng)的安全性。我們不同意這些觀點,即將已解決的安全問題數(shù)量視為衡量系統(tǒng)安全性的依據(jù)。這實際上是 Android 生態(tài)系統(tǒng)按預(yù)期開放性運行的結(jié)果。」
作為一款開源的系統(tǒng),Android 被免費開放給了第三方廠商使用,這也就意味著 Google 失去了協(xié)調(diào)軟件和硬件的能力,結(jié)果就是第三方廠商不規(guī)范操作或者第三方硬件導(dǎo)致的安全漏洞也越來越多。畢竟不同于 iOS 的封閉性,Android 開源的特性意味著它需要對更多的芯片和硬件「更加友好」,而來自手機上游廠商的硬件缺陷也可能傳遞到使用 Android 系統(tǒng)的設(shè)備上。
今年三月份谷歌就曾經(jīng)修復(fù)了一個存在于 CPU 固件中的安全漏洞后門,該漏洞使得惡意程序通過簡單腳本就可獲得使用聯(lián)發(fā)科 64 位芯片的 Android 設(shè)備訪問權(quán)限,因此會影響到數(shù)百種智能手機、平板電腦和智能機頂盒。
無獨有偶,2016 年被曝出的存在于高通 GPU 驅(qū)動中的「QuadRooter 漏洞」同樣是來自手機上游廠商的安全問題,而且由于高通的市場占有率更高,所以這一漏洞在當(dāng)時影響了全球約 9 億臺 Android 設(shè)備。
「QuadRooter 漏洞」中的其中一個甚至還允許攻擊者將惡意代碼隱藏在圖片的 Exif 數(shù)據(jù)中,當(dāng)受害者的設(shè)備打開了這張圖片時便會進行攻擊。這種低交互、低利用難度、低感知的特性也使得該漏洞成為當(dāng)年嚴重程度最高的漏洞之一。
此外,第三方 OEM 廠商對于 Android 系統(tǒng)的不規(guī)范開發(fā)也是引發(fā)安全漏洞的原因之一。為了在市場上實現(xiàn)差異化,許多 Android 設(shè)備廠商都會對系統(tǒng)進行定制化,例如國內(nèi)的 MIUI、EMUI、ColorOS 等,其中某些廠商甚至?xí)榱四承┆毤夜δ軐?Android 內(nèi)核代碼進行修改,而在代碼增添的過程中也難免會增加整個系統(tǒng)安全風(fēng)險。
2015 年,谷歌的安全人員在研究 OEM 廠商在 Android 中添加的代碼的安全性時,便發(fā)現(xiàn)了三星 Galaxy S6 Edge 中存在多處漏洞,攻擊者可以借助這些漏洞制作具有系統(tǒng)特權(quán)的文件,竊取用戶電子郵件,并在內(nèi)核中執(zhí)行代碼,同時增加特權(quán)和非特權(quán)應(yīng)用。
事實上,這種由于 OEM 手機廠商私自修改代碼而引發(fā)的安全漏洞在 Android 手機廠商中非常普遍。而谷歌為了杜絕這種情況的發(fā)生,甚至在今年二月份向部分 OEM 廠商發(fā)布警告。Google Project Zero 研究員表示,以三星為代表的多家智能手機廠商通過添加下游自定義驅(qū)動的方式,直接硬件訪問 Android 內(nèi)核的做法會引發(fā)更多的漏洞,從而導(dǎo)致現(xiàn)存于 Linux 內(nèi)核的多項安全功能失效。
Android 開源的特性使它一舉超越其他 OS,成為市場占有率最高的手機操作系統(tǒng)。但在享受這種紅利的同時,開源的「副作用」也在困擾著 Google,其碎片化和安全性的問題也越來越引發(fā)關(guān)注。但作為消費者的我們,除了保持安全的用機習(xí)慣并保證系統(tǒng)的及時更新以外,好像也做不了什么。
總結(jié)
以上是生活随笔為你收集整理的Android是去年漏洞最多的系统,但谷歌认为这不代表系统不安全的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 新鲜牛肉怎么做好吃啊?
- 下一篇: “网课教育”的另一个风口:家长一掷千金,