雷鋒網(wǎng)今天的消息，網(wǎng)絡(luò)安全公司 Zimperium 最近公布的最新研究結(jié)果顯示，數(shù)以百萬(wàn)計(jì)運(yùn)行著Android系統(tǒng)的手機(jī)，都可以被一條惡意短信劫持。這已經(jīng)不是 Android 系統(tǒng)第一次被曝出安全漏洞了，顯然其安全性問(wèn)題也存在已久了：Google 在開(kāi)發(fā) Android 時(shí)犯下一個(gè)錯(cuò)誤，它會(huì)危及那些信任這一系統(tǒng)的用戶的信息安全。

當(dāng)然，問(wèn)題不在于 Android 有安全漏洞，所有軟件都存在漏洞。問(wèn)題是，Google 缺乏解決這些問(wèn)題的有效途徑。

當(dāng)微軟在 Windows 中，亦或蘋(píng)果在 iOS 或 OS X 中發(fā)現(xiàn)了安全問(wèn)題，這兩家公司可為受到影響的設(shè)備推送更新。用戶會(huì)收到更新的通知，并直接從官方獲得更新，如果是嚴(yán)重且大范圍的漏洞，它們甚至?xí)?qiáng)制用戶更新。

反觀 Google，它并不能為所有 Android 設(shè)備推送更新。Google 以免費(fèi)方式將 Android 授權(quán)給設(shè)備制造商，后者可添加一些自己的功能或應(yīng)用程序，而且是唯一能夠?yàn)殇N售出去的設(shè)備推送更新的企業(yè)，在某些國(guó)家則是移動(dòng)運(yùn)營(yíng)商來(lái)推送更新。Google 并沒(méi)有對(duì) Android 的使用進(jìn)行太多限制，也就沒(méi)有要求他們快速推出安全更新。

Google 近來(lái)為 Android 有缺陷的安全模式想出了變通辦法，即將許多關(guān)鍵功能集成到了應(yīng)用程序中，通過(guò) Play Store 推送更新。但這并不能涵蓋所有的 Android 手機(jī)，而且 Play Store 無(wú)法提醒用戶，更新是因?yàn)榘踩?，還是只添加了新功能。

這次的短信漏洞不能通過(guò)升級(jí)應(yīng)用程序而完全修復(fù)，而且受影響的手機(jī)極有可能永遠(yuǎn)無(wú)法得到安全補(bǔ)丁更新，即使 Google 已經(jīng)提供給了設(shè)備制造商和移動(dòng)運(yùn)營(yíng)商。發(fā)現(xiàn)了短信漏洞的研究員 Joshua Drake 表示，根據(jù)他以往在 Android 更新上的經(jīng)驗(yàn)，約有20％到50％的設(shè)備會(huì)收到更新。

當(dāng)涉及到安全更新，Google 的桌面操作系統(tǒng) Chrome OS 有一個(gè)更聰明的設(shè)計(jì)。系統(tǒng)會(huì)在后臺(tái)下載更新并安裝。Google 的許多安全工程師肯定希望能在 Android 上做同樣的事情。但是，已經(jīng)建立起來(lái)的 Android 商業(yè)模式使得這一想法不太可能實(shí)現(xiàn)。設(shè)備制造商和運(yùn)營(yíng)商將自己的商業(yè)優(yōu)先級(jí)立于用戶的設(shè)備安全性之上。

via technologyreview

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。