最近,TheBestVPN  根據“美國國家標準技術研究院國家漏洞資料庫”公佈的官方資料,整理出了一份包含市面上常見系統或產品的“漏洞警報”。其中包括了過去二十年裡漏洞最多的系統/產品。微軟、IBM 等老牌科技公司推出的產品中被發現的漏洞數量更多,其中微軟開發的產品在過去 20 年(1999-2019)裡一共被發現了 6814 個漏洞,位列第一。

前五名的完整榜單如下:

1)Microsoft — 6814個漏洞

2)Oracle — 6115個漏洞

3)IBM — 4679個漏洞

4)Google — 4572個漏洞

5)蘋果 — 4512個漏洞

但過去的一年裡,由 Google 開發的 Android 系統一共被披露了 414 個漏洞,是 2019 年漏洞最多的系統。根據該報告,Android 系統在 2016 年和 2017 年也分別有 525 個和 843 個漏洞被發現,這使其同樣成為了是這兩年漏洞最多的系統。

面對這樣的結果,Google 發言人在迴應外媒時卻發表了不一樣的看法:“我們致力於提高透明度,並每月釋出關於 Android 系統安全問題的公共安全公告,以加強整個生態系統的安全性。我們不同意這些觀點,即將已解決的安全問題數量視為衡量系統安全性的依據。這實際上是 Android 生態系統按預期開放性執行的結果。”

作為一款開源的系統,Android 被免費開放給了第三方廠商使用,這也就意味著 Google 失去了協調軟體和硬體的能力,結果就是第三方廠商不規範操作或者第三方硬體導致的安全漏洞也越來越多。畢竟不同於 iOS 的封閉性,Android 開源的特性意味著它需要對更多的晶片和硬體“更加友好”,而來自手機上游廠商的硬體缺陷也可能傳遞到使用 Android 系統的裝置上。

今年三月份谷歌就曾經修復了一個存在於 CPU 韌體中的安全漏洞後門,該漏洞使得惡意程式通過簡單指令碼就可獲得使用聯發科 64 位晶片的 Android 裝置訪問許可權,因此會影響到數百種智慧手機、平板電腦和智慧機頂盒。

無獨有偶,2016 年被曝出的存在於高通 GPU 驅動中的“QuadRooter 漏洞”同樣是來自手機上游廠商的安全問題,而且由於高通的市場佔有率更高,所以這一漏洞在當時影響了全球約 9 億臺 Android 裝置。

“QuadRooter 漏洞”中的其中一個甚至還允許攻擊者將惡意程式碼隱藏在圖片的 Exif 資料中,當受害者的裝置開啟了這張圖片時便會進行攻擊。這種低互動、低利用難度、低感知的特性也使得該漏洞成為當年嚴重程度最高的漏洞之一。

此外,第三方 OEM 廠商對於 Android 系統的不規範開發也是引發安全漏洞的原因之一。為了在市場上實現差異化,許多 Android 裝置廠商都會對系統進行定製化,例如國內的 MIUI、EMUI、ColorOS 等,其中某些廠商甚至會為了某些獨家功能對 Android 核心程式碼進行修改,而在程式碼增添的過程中也難免會增加整個系統安全風險。

2015 年,谷歌的安全人員在研究 OEM 廠商在 Android 中新增的程式碼的安全性時,便發現了三星 Galaxy S6 Edge 中存在多處漏洞,攻擊者可以藉助這些漏洞製作具有系統特權的檔案,竊取使用者電子郵件,並在核心中執行程式碼,同時增加特權和非特權應用。

事實上,這種由於 OEM 手機廠商私自修改程式碼而引發的安全漏洞在 Android 手機廠商中非常普遍。而谷歌為了杜絕這種情況的發生,甚至在今年二月份向部分 OEM 廠商釋出警告。Google Project Zero 研究員表示,以三星為代表的多家智慧手機廠商通過新增下游自定義驅動的方式,直接硬體訪問 Android 核心的做法會引發更多的漏洞,從而導致現存於 Linux 核心的多項安全功能失效。

Android 開源的特性使它一舉超越其他 OS,成為市場佔有率最高的手機作業系統。但在享受這種紅利的同時,開源的“副作用”也在困擾著 Google,其碎片化和安全性的問題也越來越引發關注。但作為消費者的我們,除了保持安全的用機習慣並保證系統的及時更新以外,好像也做不了什麼。

自 威鋒網