高通和联发科双双中枪了。
根据谷歌在3月7日发布的最新 Android 安全补丁,有7个高危漏洞被爆出来。其中,来自高通和联发科的硬件漏洞各占一席。这些漏洞极端危险,可以导致黑客对手机实施最残酷的虐待——Root。Root对于安卓手机来说,大致相当于一个人的免疫系统被彻底破坏:
一旦手机被 Root,而机主还懵然无知,就会导致它的所有通话记录和手机文件被窃取,甚至还可能被偷拍、录音和定位跟踪。
其实,高通和联发科这两个大厂被爆出漏洞并不稀奇,在过去,很多Root行为,包括我们可以下载到的 Root 工具,都是利用处理器或与之相关的硬件驱动漏洞完成的。
由于这些漏洞作用于特定的内核版本,但是理论上仍然有十亿设备受到威胁。不过不用担心,这些漏洞是由安全研究员,也就是白帽子黑客挖掘出来并且第一时间报给谷歌的。可以说这些漏洞还没来得及出生,就已经被判死刑了。
Android 系统在 6.0 以后,采取了定期打补丁的方式进行升级,然而有关打补丁却远不像想象中那么简单。安全专家表示:
由于各家使用的芯片和集成硬件不同,所以驱动漏洞补丁不能以通用的方式下发给用户。这些补丁会由谷歌分发给合作的手机厂商,当然手机厂商也可以向谷歌索取,由手机厂商通过自家 ROM 升级进行推送。
但是,补丁毕竟是补丁。对于手机厂商来说,频繁地给系统推送补丁,有诸多副作用:
首先,会让用户觉得厌烦;
其次,这么频繁推送安全补丁,反倒会让用户产生一种不安全的感觉;
另外,新的补丁由于没有经过大量测试,有可能会让系统变得不稳定。
所以结果就是:很多手机厂商对于用户直观的体验很重视,反倒对于改进背后的安全性表现冷淡。除了 Nexus 这类“亲儿子”,其他品牌的手机在安全升级方面可谓是拖拖拉拉。
【2015年安卓手机碎片化情况/图片来自OpenSignal】
由于这些高危漏洞被“白帽子”直接提交给谷歌,所以实际上攻击代码并没有流出来。然而,有一种可能性是存在的,那就是:
谷歌的补丁信息表明,这些漏洞是真实存在的。所以其他“黑帽子”黑客在理论上有可能通过自主研究,找到漏洞的所在,进而用这些漏洞来攻击尚未打完补丁的手机。
面对碎片化的手机生态,大部分手机很难跟上谷歌升级的步伐。可以说,虽然谷歌的补丁越来越多,但 Android 的世界非但没有变得更安全,反而更危险了。
说到底,手机的安全性很多时候就像城市中的下水道一样,用户很难体会到,但却代表了厂商的良心。