雷锋网今天的消息,网络安全公司 Zimperium 最近公布的最新研究结果显示,数以百万计运行着Android系统的手机,都可以被一条恶意短信劫持。这已经不是 Android 系统第一次被曝出安全漏洞了,显然其安全性问题也存在已久了:Google 在开发 Android 时犯下一个错误,它会危及那些信任这一系统的用户的信息安全。
当然,问题不在于 Android 有安全漏洞,所有软件都存在漏洞。问题是,Google 缺乏解决这些问题的有效途径。
当微软在 Windows 中,亦或苹果在 iOS 或 OS X 中发现了安全问题,这两家公司可为受到影响的设备推送更新。用户会收到更新的通知,并直接从官方获得更新,如果是严重且大范围的漏洞,它们甚至会强制用户更新。
反观 Google,它并不能为所有 Android 设备推送更新。Google 以免费方式将 Android 授权给设备制造商,后者可添加一些自己的功能或应用程序,而且是唯一能够为销售出去的设备推送更新的企业,在某些国家则是移动运营商来推送更新。Google 并没有对 Android 的使用进行太多限制,也就没有要求他们快速推出安全更新。
Google 近来为 Android 有缺陷的安全模式想出了变通办法,即将许多关键功能集成到了应用程序中,通过 Play Store 推送更新。但这并不能涵盖所有的 Android 手机,而且 Play Store 无法提醒用户,更新是因为安全原因,还是只添加了新功能。
这次的短信漏洞不能通过升级应用程序而完全修复,而且受影响的手机极有可能永远无法得到安全补丁更新,即使 Google 已经提供给了设备制造商和移动运营商。发现了短信漏洞的研究员 Joshua Drake 表示,根据他以往在 Android 更新上的经验,约有20%到50%的设备会收到更新。
当涉及到安全更新,Google 的桌面操作系统 Chrome OS 有一个更聪明的设计。系统会在后台下载更新并安装。Google 的许多安全工程师肯定希望能在 Android 上做同样的事情。但是,已经建立起来的 Android 商业模式使得这一想法不太可能实现。设备制造商和运营商将自己的商业优先级立于用户的设备安全性之上。
via technologyreview