高通和聯(lián)發(fā)科雙雙中槍了。

根據(jù)谷歌在3月7日發(fā)布的最新 Android 安全補丁，有7個高危漏洞被爆出來。其中，來自高通和聯(lián)發(fā)科的硬件漏洞各占一席。這些漏洞極端危險，可以導致黑客對手機實施最殘酷的虐待——Root。Root對于安卓手機來說，大致相當于一個人的免疫系統(tǒng)被徹底破壞：

一旦手機被 Root，而機主還懵然無知，就會導致它的所有通話記錄和手機文件被竊取，甚至還可能被偷拍、錄音和定位跟蹤。

其實，高通和聯(lián)發(fā)科這兩個大廠被爆出漏洞并不稀奇，在過去，很多Root行為，包括我們可以下載到的 Root 工具，都是利用處理器或與之相關的硬件驅動漏洞完成的。

由于這些漏洞作用于特定的內核版本，但是理論上仍然有十億設備受到威脅。不過不用擔心，這些漏洞是由安全研究員，也就是白帽子黑客挖掘出來并且第一時間報給谷歌的?？梢哉f這些漏洞還沒來得及出生，就已經(jīng)被判死刑了。

Android 系統(tǒng)在 6.0 以后，采取了定期打補丁的方式進行升級，然而有關打補丁卻遠不像想象中那么簡單。安全專家表示：

由于各家使用的芯片和集成硬件不同，所以驅動漏洞補丁不能以通用的方式下發(fā)給用戶。這些補丁會由谷歌分發(fā)給合作的手機廠商，當然手機廠商也可以向谷歌索取，由手機廠商通過自家 ROM 升級進行推送。

但是，補丁畢竟是補丁。對于手機廠商來說，頻繁地給系統(tǒng)推送補丁，有諸多副作用：

• 首先，會讓用戶覺得厭煩；

• 其次，這么頻繁推送安全補丁，反倒會讓用戶產生一種不安全的感覺；

• 另外，新的補丁由于沒有經(jīng)過大量測試，有可能會讓系統(tǒng)變得不穩(wěn)定。

所以結果就是：很多手機廠商對于用戶直觀的體驗很重視，反倒對于改進背后的安全性表現(xiàn)冷淡。除了 Nexus 這類“親兒子”，其他品牌的手機在安全升級方面可謂是拖拖拉拉。

【2015年安卓手機碎片化情況/圖片來自OpenSignal】

由于這些高危漏洞被“白帽子”直接提交給谷歌，所以實際上攻擊代碼并沒有流出來。然而，有一種可能性是存在的，那就是：

谷歌的補丁信息表明，這些漏洞是真實存在的。所以其他“黑帽子”黑客在理論上有可能通過自主研究，找到漏洞的所在，進而用這些漏洞來攻擊尚未打完補丁的手機。

面對碎片化的手機生態(tài)，大部分手機很難跟上谷歌升級的步伐。可以說，雖然谷歌的補丁越來越多，但 Android 的世界非但沒有變得更安全，反而更危險了。

說到底，手機的安全性很多時候就像城市中的下水道一樣，用戶很難體會到，但卻代表了廠商的良心。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。