打補丁不及時 九成Android設備有大漏洞
- 發佈時間:2015-10-21 10:56:57 來源:廣州日報 責任編輯:湯婧
據外媒近日報道,英國康橋大學的研究顯示,近90%的Android設備都存在至少一個重大漏洞,原因是Android廠商未能為這些設備提供補丁。原因説起來似乎簡單——在對Android智慧手機進行評估時,沒人知道在谷歌為Android安全漏洞開發出補丁以後,哪家廠商會向用戶提供補丁——開放的Android,在系統版本上呈現“碎片化”,每個手機品牌、不同的機型,其OS版本進度不一,這就為Bug提供了生存空間。 文/廣州日報記者 李光焱
“打補丁”滯後
據悉,康橋大學的研究人員收集了2萬多部安裝了Device Analyzer應用的Android設備,並進行數據分析。分析結果表明,在過去5年時間裏,87%的Android設備都容易受到公共領域中出現的11個安全漏洞裏至少一個的侵害,這些漏洞包括最近剛被發現的TowelRoot和FakeID等。
研究人員丹尼爾·托馬斯(Daniel Thomas)等在報告中稱,今天的Android安全市場就像個檸檬市場(The Market for Lemons,也稱次品市場、資訊不對稱的市場)。廠商與用戶之間存在資訊不對稱,前者知道設備是不是安全以及是否會進行安全升級,但用戶卻不知道。
研究還發現,Android設備平均每年會收到1.26次的安全更新。研究者還特地設計了一種“FUM”評分體系,以便給每家廠商在向用戶提供安全補丁方面的表現打分。
據這個評分體系,谷歌“親兒子”Nexus手機得分為5.2分,在各種Android設備中是最高的;其次是LG,得分為4.0分;摩托羅拉,3.1分;三星,2.7分;排在後面的則是新力、HTC和華碩。
Google Now可被“黑”
伴隨這一份研究報告的是最新的漏洞——駭客可利用無線電在5米左右的範圍內對語音助手Google Now發動攻擊,讓手機撥打付費電話,瀏覽惡意網站或者發送垃圾資訊。當然,同時中招的還有蘋果的Siri。
法國兩名安全研究者稱,只要用戶在手機上插入了耳麥,他們就可以利用無線電波悄悄地激活任何一部Android手機上的Google Now或iPhone手中上的Siri。
利用這一漏洞,“駭客”可撥打電話,發送短信。還可以讓Siri或Google Now撥打駭客的號碼,將手機變身為竊聽設備;也可以瀏覽惡意網站,或通過電子郵件、Facebook或Twitter發送垃圾資訊。
好在,這種攻擊方式只能攻擊已插入具有麥克風功能的耳機的智慧手機。此外,許多Android手機並未在鎖屏狀態下啟用Google Now,或只能在識別出用戶的語音時才作出響應,如此以一來難度高很多。