最近，TheBestVPN 根據(jù)「美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院國(guó)家漏洞數(shù)據(jù)庫(kù)」公布的官方數(shù)據(jù)，整理出了一份包含市面上常見(jiàn)系統(tǒng)或產(chǎn)品的「漏洞警報(bào)」。其中包括了過(guò)去二十年里漏洞最多的系統(tǒng)/產(chǎn)品。

　　微軟、IBM 等老牌科技公司推出的產(chǎn)品中被發(fā)現(xiàn)的漏洞數(shù)量更多，其中微軟開(kāi)發(fā)的產(chǎn)品在過(guò)去 20 年（1999-2019）里一共被發(fā)現(xiàn)了 6814 個(gè)漏洞，位列第一，前五名的完整榜單如下：

　　1）Microsoft — 6814 個(gè)漏洞
　　2）Oracle — 6115 個(gè)漏洞
　　3）IBM — 4679 個(gè)漏洞
　　4）Google — 4572 個(gè)漏洞
　　5）蘋(píng)果 — 4512 個(gè)漏洞

　　但過(guò)去的一年里，由 Google 開(kāi)發(fā)的 Android 系統(tǒng)一共被披露了 414 個(gè)漏洞，是 2019 年漏洞最多的系統(tǒng)。根據(jù)該報(bào)告，Android 系統(tǒng)在 2016 年和 2017 年也分別有 525 個(gè)和 843 個(gè)漏洞被發(fā)現(xiàn)，這使其同樣成為了是這兩年漏洞最多的系統(tǒng)。

　　面對(duì)這樣的結(jié)果，Google 發(fā)言人在回應(yīng)外媒時(shí)卻發(fā)表了不一樣的看法：「我們致力于提高透明度，并每月發(fā)布關(guān)于 Android 系統(tǒng)安全問(wèn)題的公共安全公告，以加強(qiáng)整個(gè)生態(tài)系統(tǒng)的安全性。我們不同意這些觀點(diǎn)，即將已解決的安全問(wèn)題數(shù)量視為衡量系統(tǒng)安全性的依據(jù)。這實(shí)際上是 Android 生態(tài)系統(tǒng)按預(yù)期開(kāi)放性運(yùn)行的結(jié)果。」

　　作為一款開(kāi)源的系統(tǒng)，Android 被免費(fèi)開(kāi)放給了第三方廠商使用，這也就意味著 Google 失去了協(xié)調(diào)軟件和硬件的能力，結(jié)果就是第三方廠商不規(guī)范操作或者第三方硬件導(dǎo)致的安全漏洞也越來(lái)越多。畢竟不同于 iOS 的封閉性，Android 開(kāi)源的特性意味著它需要對(duì)更多的芯片和硬件「更加友好」，而來(lái)自手機(jī)上游廠商的硬件缺陷也可能傳遞到使用 Android 系統(tǒng)的設(shè)備上。

　　今年三月份谷歌就曾經(jīng)修復(fù)了一個(gè)存在于 CPU 固件中的安全漏洞后門(mén)，該漏洞使得惡意程序通過(guò)簡(jiǎn)單腳本就可獲得使用聯(lián)發(fā)科 64 位芯片的 Android 設(shè)備訪問(wèn)權(quán)限，因此會(huì)影響到數(shù)百種智能手機(jī)、平板電腦和智能機(jī)頂盒。

　　無(wú)獨(dú)有偶，2016 年被曝出的存在于高通 GPU 驅(qū)動(dòng)中的「QuadRooter 漏洞」同樣是來(lái)自手機(jī)上游廠商的安全問(wèn)題，而且由于高通的市場(chǎng)占有率更高，所以這一漏洞在當(dāng)時(shí)影響了全球約 9 億臺(tái) Android 設(shè)備。

　　「QuadRooter 漏洞」中的其中一個(gè)甚至還允許攻擊者將惡意代碼隱藏在圖片的 Exif 數(shù)據(jù)中，當(dāng)受害者的設(shè)備打開(kāi)了這張圖片時(shí)便會(huì)進(jìn)行攻擊。這種低交互、低利用難度、低感知的特性也使得該漏洞成為當(dāng)年嚴(yán)重程度最高的漏洞之一。

　　此外，第三方 OEM 廠商對(duì)于 Android 系統(tǒng)的不規(guī)范開(kāi)發(fā)也是引發(fā)安全漏洞的原因之一。為了在市場(chǎng)上實(shí)現(xiàn)差異化，許多 Android 設(shè)備廠商都會(huì)對(duì)系統(tǒng)進(jìn)行定制化，例如國(guó)內(nèi)的 MIUI、EMUI、ColorOS 等，其中某些廠商甚至?xí)榱四承┆?dú)家功能對(duì) Android 內(nèi)核代碼進(jìn)行修改，而在代碼增添的過(guò)程中也難免會(huì)增加整個(gè)系統(tǒng)安全風(fēng)險(xiǎn)。

　　2015 年，谷歌的安全人員在研究 OEM 廠商在 Android 中添加的代碼的安全性時(shí)，便發(fā)現(xiàn)了三星 Galaxy S6 Edge 中存在多處漏洞，攻擊者可以借助這些漏洞制作具有系統(tǒng)特權(quán)的文件，竊取用戶(hù)電子郵件，并在內(nèi)核中執(zhí)行代碼，同時(shí)增加特權(quán)和非特權(quán)應(yīng)用。

　　事實(shí)上，這種由于 OEM 手機(jī)廠商私自修改代碼而引發(fā)的安全漏洞在 Android 手機(jī)廠商中非常普遍。而谷歌為了杜絕這種情況的發(fā)生，甚至在今年二月份向部分 OEM 廠商發(fā)布警告。Google Project Zero 研究員表示，以三星為代表的多家智能手機(jī)廠商通過(guò)添加下游自定義驅(qū)動(dòng)的方式，直接硬件訪問(wèn) Android 內(nèi)核的做法會(huì)引發(fā)更多的漏洞，從而導(dǎo)致現(xiàn)存于 Linux 內(nèi)核的多項(xiàng)安全功能失效。

　　Android 開(kāi)源的特性使它一舉超越其他 OS，成為市場(chǎng)占有率最高的手機(jī)操作系統(tǒng)。但在享受這種紅利的同時(shí)，開(kāi)源的「副作用」也在困擾著 Google，其碎片化和安全性的問(wèn)題也越來(lái)越引發(fā)關(guān)注。但作為消費(fèi)者的我們，除了保持安全的用機(jī)習(xí)慣并保證系統(tǒng)的及時(shí)更新以外，好像也做不了什么。

總結(jié)

以上是生活随笔為你收集整理的Android是去年漏洞最多的系统，但谷歌认为这不代表系统不安全的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。