最近，TheBestVPN 根據(jù)「美國國家標(biāo)準(zhǔn)技術(shù)研究院國家漏洞數(shù)據(jù)庫」公布的官方數(shù)據(jù)，整理出了一份包含市面上常見系統(tǒng)或產(chǎn)品的「漏洞警報(bào)」。其中包括了過去二十年里漏洞最多的系統(tǒng)/產(chǎn)品。

微軟、IBM 等老牌科技公司推出的產(chǎn)品中被發(fā)現(xiàn)的漏洞數(shù)量更多，其中微軟開發(fā)的產(chǎn)品在過去 20 年(1999-2019)里一共被發(fā)現(xiàn)了 6814 個(gè)漏洞，位列第一，前五名的完整榜單如下：

• Microsoft — 6814個(gè)漏洞
• Oracle — 6115個(gè)漏洞
• IBM — 4679個(gè)漏洞
• Google — 4572個(gè)漏洞
• 蘋果 — 4512個(gè)漏洞

但過去的一年里，由 Google 開發(fā)的 Android 系統(tǒng)一共被披露了 414 個(gè)漏洞，是 2019 年漏洞最多的系統(tǒng)。根據(jù)該報(bào)告，Android 系統(tǒng)在 2016 年和 2017 年也分別有 525 個(gè)和 843 個(gè)漏洞被發(fā)現(xiàn)，這使其同樣成為了是這兩年漏洞最多的系統(tǒng)。

面對這樣的結(jié)果，Google 發(fā)言人在回應(yīng)外媒時(shí)卻發(fā)表了不一樣的看法：「我們致力于提高透明度，并每月發(fā)布關(guān)于 Android 系統(tǒng)安全問題的公共安全公告，以加強(qiáng)整個(gè)生態(tài)系統(tǒng)的安全性。我們不同意這些觀點(diǎn)，即將已解決的安全問題數(shù)量視為衡量系統(tǒng)安全性的依據(jù)。這實(shí)際上是 Android 生態(tài)系統(tǒng)按預(yù)期開放性運(yùn)行的結(jié)果。」

作為一款開源的系統(tǒng)，Android 被免費(fèi)開放給了第三方廠商使用，這也就意味著 Google 失去了協(xié)調(diào)軟件和硬件的能力，結(jié)果就是第三方廠商不規(guī)范操作或者第三方硬件導(dǎo)致的安全漏洞也越來越多。畢竟不同于 iOS 的封閉性，Android 開源的特性意味著它需要對更多的芯片和硬件「更加友好」，而來自手機(jī)上游廠商的硬件缺陷也可能傳遞到使用 Android 系統(tǒng)的設(shè)備上。

[[317881]]

今年三月份谷歌就曾經(jīng)修復(fù)了一個(gè)存在于 CPU 固件中的安全漏洞后門，該漏洞使得惡意程序通過簡單腳本就可獲得使用聯(lián)發(fā)科 64 位芯片的 Android 設(shè)備訪問權(quán)限，因此會影響到數(shù)百種智能手機(jī)、平板電腦和智能機(jī)頂盒。

無獨(dú)有偶，2016 年被曝出的存在于高通 GPU 驅(qū)動(dòng)中的「QuadRooter 漏洞」同樣是來自手機(jī)上游廠商的安全問題，而且由于高通的市場占有率更高，所以這一漏洞在當(dāng)時(shí)影響了全球約 9 億臺 Android 設(shè)備。

「QuadRooter 漏洞」中的其中一個(gè)甚至還允許攻擊者將惡意代碼隱藏在圖片的 Exif 數(shù)據(jù)中，當(dāng)受害者的設(shè)備打開了這張圖片時(shí)便會進(jìn)行攻擊。這種低交互、低利用難度、低感知的特性也使得該漏洞成為當(dāng)年嚴(yán)重程度最高的漏洞之一。

[[317882]]

此外，第三方 OEM 廠商對于 Android 系統(tǒng)的不規(guī)范開發(fā)也是引發(fā)安全漏洞的原因之一。為了在市場上實(shí)現(xiàn)差異化，許多 Android 設(shè)備廠商都會對系統(tǒng)進(jìn)行定制化，例如國內(nèi)的 MIUI、EMUI、ColorOS 等，其中某些廠商甚至?xí)榱四承┆?dú)家功能對 Android 內(nèi)核代碼進(jìn)行修改，而在代碼增添的過程中也難免會增加整個(gè)系統(tǒng)安全風(fēng)險(xiǎn)。

2015 年，谷歌的安全人員在研究 OEM 廠商在 Android 中添加的代碼的安全性時(shí)，便發(fā)現(xiàn)了三星 Galaxy S6 Edge 中存在多處漏洞，攻擊者可以借助這些漏洞制作具有系統(tǒng)特權(quán)的文件，竊取用戶電子郵件，并在內(nèi)核中執(zhí)行代碼，同時(shí)增加特權(quán)和非特權(quán)應(yīng)用。

[[317883]]

事實(shí)上，這種由于 OEM 手機(jī)廠商私自修改代碼而引發(fā)的安全漏洞在 Android 手機(jī)廠商中非常普遍。而谷歌為了杜絕這種情況的發(fā)生，甚至在今年二月份向部分 OEM 廠商發(fā)布警告。Google Project Zero 研究員表示，以三星為代表的多家智能手機(jī)廠商通過添加下游自定義驅(qū)動(dòng)的方式，直接硬件訪問 Android 內(nèi)核的做法會引發(fā)更多的漏洞，從而導(dǎo)致現(xiàn)存于 Linux 內(nèi)核的多項(xiàng)安全功能失效。

Android 開源的特性使它一舉超越其他 OS，成為市場占有率最高的手機(jī)操作系統(tǒng)。但在享受這種紅利的同時(shí)，開源的「副作用」也在困擾著 Google，其碎片化和安全性的問題也越來越引發(fā)關(guān)注。但作為消費(fèi)者的我們，除了保持安全的用機(jī)習(xí)慣并保證系統(tǒng)的及時(shí)更新以外，好像也做不了什么。