Android 是去年漏洞最多的系统,但谷歌认为这不代表系统不安全
最近,TheBestVPN 根据「美国国家标准技术研究院国家漏洞数据库」公布的官方数据,整理出了一份包含市面上常见系统或产品的「漏洞警报」。其中包括了过去二十年里漏洞最多的系统/产品。
微软、IBM 等老牌科技公司推出的产品中被发现的漏洞数量更多,其中微软开发的产品在过去 20 年(1999-2019)里一共被发现了 6814 个漏洞,位列第一,前五名的完整榜单如下:
- Microsoft — 6814个漏洞
- Oracle — 6115个漏洞
- IBM — 4679个漏洞
- Google — 4572个漏洞
- 苹果 — 4512个漏洞
但过去的一年里,由 Google 开发的 Android 系统一共被披露了 414 个漏洞,是 2019 年漏洞最多的系统。根据该报告,Android 系统在 2016 年和 2017 年也分别有 525 个和 843 个漏洞被发现,这使其同样成为了是这两年漏洞最多的系统。
面对这样的结果,Google 发言人在回应外媒时却发表了不一样的看法:「我们致力于提高透明度,并每月发布关于 Android 系统安全问题的公共安全公告,以加强整个生态系统的安全性。我们不同意这些观点,即将已解决的安全问题数量视为衡量系统安全性的依据。这实际上是 Android 生态系统按预期开放性运行的结果。」
作为一款开源的系统,Android 被免费开放给了第三方厂商使用,这也就意味着 Google 失去了协调软件和硬件的能力,结果就是第三方厂商不规范操作或者第三方硬件导致的安全漏洞也越来越多。毕竟不同于 iOS 的封闭性,Android 开源的特性意味着它需要对更多的芯片和硬件「更加友好」,而来自手机上游厂商的硬件缺陷也可能传递到使用 Android 系统的设备上。
今年三月份谷歌就曾经修复了一个存在于 CPU 固件中的安全漏洞后门,该漏洞使得恶意程序通过简单脚本就可获得使用联发科 64 位芯片的 Android 设备访问权限,因此会影响到数百种智能手机、平板电脑和智能机顶盒。
无独有偶,2016 年被曝出的存在于高通 GPU 驱动中的「QuadRooter 漏洞」同样是来自手机上游厂商的安全问题,而且由于高通的市场占有率更高,所以这一漏洞在当时影响了全球约 9 亿台 Android 设备。
「QuadRooter 漏洞」中的其中一个甚至还允许攻击者将恶意代码隐藏在图片的 Exif 数据中,当受害者的设备打开了这张图片时便会进行攻击。这种低交互、低利用难度、低感知的特性也使得该漏洞成为当年严重程度最高的漏洞之一。
此外,第三方 OEM 厂商对于 Android 系统的不规范开发也是引发安全漏洞的原因之一。为了在市场上实现差异化,许多 Android 设备厂商都会对系统进行定制化,例如国内的 MIUI、EMUI、ColorOS 等,其中某些厂商甚至会为了某些独家功能对 Android 内核代码进行修改,而在代码增添的过程中也难免会增加整个系统安全风险。
2015 年,谷歌的安全人员在研究 OEM 厂商在 Android 中添加的代码的安全性时,便发现了三星 Galaxy S6 Edge 中存在多处漏洞,攻击者可以借助这些漏洞制作具有系统特权的文件,窃取用户电子邮件,并在内核中执行代码,同时增加特权和非特权应用。
事实上,这种由于 OEM 手机厂商私自修改代码而引发的安全漏洞在 Android 手机厂商中非常普遍。而谷歌为了杜绝这种情况的发生,甚至在今年二月份向部分 OEM 厂商发布警告。Google Project Zero 研究员表示,以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式,直接硬件访问 Android 内核的做法会引发更多的漏洞,从而导致现存于 Linux 内核的多项安全功能失效。
Android 开源的特性使它一举超越其他 OS,成为市场占有率最高的手机操作系统。但在享受这种红利的同时,开源的「副作用」也在困扰着 Google,其碎片化和安全性的问题也越来越引发关注。但作为消费者的我们,除了保持安全的用机习惯并保证系统的及时更新以外,好像也做不了什么。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微盟“删库”事件反思:是时候做好你的安全态势度量,防患于未然了!
【51CTO.com原创稿件】近日,一场曲折离奇的“删库跑路”事件,为互联网行业敲响了警钟。2月23日晚,微盟研发中心运维部核心运维人员竟然通过个人VPN进入公司内网跳板机,直接导致集团大面积服务器集群无法响应,生产环境及数据遭受严重破坏,集团市值一天蒸发超10亿。虽然微盟数据已经全面找回,但是“删库”事件带来的影响还在持续。 关于微盟“删库”事件的反思:企业需主动度量安全态势抵御内外部风险 事发后,微盟深刻地反思和检讨了自身问题,承认公司在数据安全管理和运维人员权限管理上存在明显不足,对于安全监控体系的执行不够到位等等。 其实,受当前疫情影响,不是只有微盟启用了远程办公模式,不是只有那位员工可以通过个人VPN进入自家公司内网,更不是只有微盟面临安全风险。当前,有千千万万家企业的员工在线远程办公,其中很多企业因此产生运营变更行为,比如:计算资源扩容、新应用系统上线、新业务迁移和安全工具配置调整等,面临着包含“删库”在内的各种内外部安全风险。 因此,企业们是时候问问自己:当你的员工通过VPN接入企业内部网络时,办公环境是否划分了逻辑隔离的远程接入安全域?你的安全设备是否对远程接入员工的访...
- 下一篇
从RSAC看DevSecOps的进化与落地思考
0 引言 2020年RSA Conference于2月24日至28日在美国旧金山如期召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。其中,有着“全球网络安全风向标”之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应用安全领域,BluBracket和ForAllSecure就是今年DevSecOps领域的创新厂商代表。作为国内DevSecOps的主要推动力量之一,在这里对近几年DevSecOps战略框架的发展做个系统梳理,并分享我们悬镜安全这些年探索的落地实践方案。 1 何为DevSecOps? 1.1 DevSecOps的定义 DevSecOps(Development Security Operations的缩写),一套基于DevOps体系的全新IT安全实践战略框架,最早由Gartner咨询公司研究员David Cearley在2012年提出,它是一种糅合了开发、安全及运营理念的全新安全管理模式。2016年9...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS6,CentOS7官方镜像安装Oracle11G
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题