Android 裏有個安全炸彈,是 Google 埋的

雷鋒網 於 28/07/2015 發表 收藏文章

雷鋒網今天的消息,網絡安全公司 Zimperium 最近公佈的最新研究結果顯示,數以百萬計運行着Android系統的手機,都可以被一條惡意短信劫持。這已經不是 Android 系統第一次被曝出安全漏洞了,顯然其安全性問題也存在已久了:Google 在開發 Android 時犯下一個錯誤,它會危及那些信任這一系統的用户的信息安全。

當然,問題不在於 Android 有安全漏洞,所有軟件都存在漏洞。問題是,Google 缺乏解決這些問題的有效途徑。

當微軟在 Windows 中,亦或蘋果在 iOS 或 OS X 中發現了安全問題,這兩家公司可為受到影響的設備推送更新。用户會收到更新的通知,並直接從官方獲得更新,如果是嚴重且大範圍的漏洞,它們甚至會強制用户更新。

反觀 Google,它並不能為所有 Android 設備推送更新。Google 以免費方式將 Android 授權給設備製造商,後者可添加一些自己的功能或應用程序,而且是唯一能夠為銷售出去的設備推送更新的企業,在某些國家則是移動運營商來推送更新。Google 並沒有對 Android 的使用進行太多限制,也就沒有要求他們快速推出安全更新。

Google 近來為 Android 有缺陷的安全模式想出了變通辦法,即將許多關鍵功能集成到了應用程序中,通過 Play Store 推送更新。但這並不能涵蓋所有的 Android 手機,而且 Play Store 無法提醒用户,更新是因為安全原因,還是隻添加了新功能。

這次的短信漏洞不能通過升級應用程序而完全修復,而且受影響的手機極有可能永遠無法得到安全補丁更新,即使 Google 已經提供給了設備製造商和移動運營商。發現了短信漏洞的研究員 Joshua Drake 表示,根據他以往在 Android 更新上的經驗,約有20%到50%的設備會收到更新。

當涉及到安全更新,Google 的桌面操作系統 Chrome OS 有一個更聰明的設計。系統會在後台下載更新並安裝。Google 的許多安全工程師肯定希望能在 Android 上做同樣的事情。但是,已經建立起來的 Android 商業模式使得這一想法不太可能實現。設備製造商和運營商將自己的商業優先級立於用户的設備安全性之上。

via technologyreview


資料來源:雷鋒網
作者/編輯:思睿
標籤: Android  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→