高通和聯(lián)發(fā)科雙雙中槍了。

根據(jù)谷歌在3月7日發(fā)布的最新 Android 安全補(bǔ)丁，有7個(gè)高危漏洞被爆出來。其中，來自高通和聯(lián)發(fā)科的硬件漏洞各占一席。這些漏洞極端危險(xiǎn)，可以導(dǎo)致黑客對(duì)手機(jī)實(shí)施最殘酷的虐待——Root。Root對(duì)于安卓手機(jī)來說，大致相當(dāng)于一個(gè)人的免疫系統(tǒng)被徹底破壞：

一旦手機(jī)被 Root，而機(jī)主還懵然無知，就會(huì)導(dǎo)致它的所有通話記錄和手機(jī)文件被竊取，甚至還可能被偷拍、錄音和定位跟蹤。

其實(shí)，高通和聯(lián)發(fā)科這兩個(gè)大廠被爆出漏洞并不稀奇，在過去，很多Root行為，包括我們可以下載到的 Root 工具，都是利用處理器或與之相關(guān)的硬件驅(qū)動(dòng)漏洞完成的。

由于這些漏洞作用于特定的內(nèi)核版本，但是理論上仍然有十億設(shè)備受到威脅。不過不用擔(dān)心，這些漏洞是由安全研究員，也就是白帽子黑客挖掘出來并且第一時(shí)間報(bào)給谷歌的?？梢哉f這些漏洞還沒來得及出生，就已經(jīng)被判死刑了。

Android 系統(tǒng)在 6.0 以后，采取了定期打補(bǔ)丁的方式進(jìn)行升級(jí)，然而有關(guān)打補(bǔ)丁卻遠(yuǎn)不像想象中那么簡(jiǎn)單。安全專家表示：

由于各家使用的芯片和集成硬件不同，所以驅(qū)動(dòng)漏洞補(bǔ)丁不能以通用的方式下發(fā)給用戶。這些補(bǔ)丁會(huì)由谷歌分發(fā)給合作的手機(jī)廠商，當(dāng)然手機(jī)廠商也可以向谷歌索取，由手機(jī)廠商通過自家 ROM 升級(jí)進(jìn)行推送。

但是，補(bǔ)丁畢竟是補(bǔ)丁。對(duì)于手機(jī)廠商來說，頻繁地給系統(tǒng)推送補(bǔ)丁，有諸多副作用：

• 首先，會(huì)讓用戶覺得厭煩；

• 其次，這么頻繁推送安全補(bǔ)丁，反倒會(huì)讓用戶產(chǎn)生一種不安全的感覺；

• 另外，新的補(bǔ)丁由于沒有經(jīng)過大量測(cè)試，有可能會(huì)讓系統(tǒng)變得不穩(wěn)定。

所以結(jié)果就是：很多手機(jī)廠商對(duì)于用戶直觀的體驗(yàn)很重視，反倒對(duì)于改進(jìn)背后的安全性表現(xiàn)冷淡。除了 Nexus 這類“親兒子”，其他品牌的手機(jī)在安全升級(jí)方面可謂是拖拖拉拉。

【2015年安卓手機(jī)碎片化情況/圖片來自O(shè)penSignal】

由于這些高危漏洞被“白帽子”直接提交給谷歌，所以實(shí)際上攻擊代碼并沒有流出來。然而，有一種可能性是存在的，那就是：

谷歌的補(bǔ)丁信息表明，這些漏洞是真實(shí)存在的。所以其他“黑帽子”黑客在理論上有可能通過自主研究，找到漏洞的所在，進(jìn)而用這些漏洞來攻擊尚未打完補(bǔ)丁的手機(jī)。

面對(duì)碎片化的手機(jī)生態(tài)，大部分手機(jī)很難跟上谷歌升級(jí)的步伐?？梢哉f，雖然谷歌的補(bǔ)丁越來越多，但 Android 的世界非但沒有變得更安全，反而更危險(xiǎn)了。

說到底，手機(jī)的安全性很多時(shí)候就像城市中的下水道一樣，用戶很難體會(huì)到，但卻代表了廠商的良心。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。