1
| 本文作者: 思睿 | 2015-07-28 18:19 |
雷鋒網今天的消息,網絡安全公司 Zimperium 最近公布的最新研究結果顯示,數以百萬計運行著Android系統的手機,都可以被一條惡意短信劫持。這已經不是 Android 系統第一次被曝出安全漏洞了,顯然其安全性問題也存在已久了:Google 在開發 Android 時犯下一個錯誤,它會危及那些信任這一系統的用戶的信息安全。
當然,問題不在于 Android 有安全漏洞,所有軟件都存在漏洞。問題是,Google 缺乏解決這些問題的有效途徑。
當微軟在 Windows 中,亦或蘋果在 iOS 或 OS X 中發現了安全問題,這兩家公司可為受到影響的設備推送更新。用戶會收到更新的通知,并直接從官方獲得更新,如果是嚴重且大范圍的漏洞,它們甚至會強制用戶更新。
反觀 Google,它并不能為所有 Android 設備推送更新。Google 以免費方式將 Android 授權給設備制造商,后者可添加一些自己的功能或應用程序,而且是唯一能夠為銷售出去的設備推送更新的企業,在某些國家則是移動運營商來推送更新。Google 并沒有對 Android 的使用進行太多限制,也就沒有要求他們快速推出安全更新。
Google 近來為 Android 有缺陷的安全模式想出了變通辦法,即將許多關鍵功能集成到了應用程序中,通過 Play Store 推送更新。但這并不能涵蓋所有的 Android 手機,而且 Play Store 無法提醒用戶,更新是因為安全原因,還是只添加了新功能。
這次的短信漏洞不能通過升級應用程序而完全修復,而且受影響的手機極有可能永遠無法得到安全補丁更新,即使 Google 已經提供給了設備制造商和移動運營商。發現了短信漏洞的研究員 Joshua Drake 表示,根據他以往在 Android 更新上的經驗,約有20%到50%的設備會收到更新。
當涉及到安全更新,Google 的桌面操作系統 Chrome OS 有一個更聰明的設計。系統會在后臺下載更新并安裝。Google 的許多安全工程師肯定希望能在 Android 上做同樣的事情。但是,已經建立起來的 Android 商業模式使得這一想法不太可能實現。設備制造商和運營商將自己的商業優先級立于用戶的設備安全性之上。
via technologyreview
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
