據外媒近日報道，英國劍橋大學(xué)的研究顯示，近90%的Android設備都存在至少一個(gè)重大漏洞，原因是Android廠(chǎng)商未能為這些設備提供補丁。

打補丁不及時(shí)

據外媒近日報道，英國劍橋大學(xué)的研究顯示，近90%的Android設備都存在至少一個(gè)重大漏洞，原因是Android廠(chǎng)商未能為這些設備提供補丁。原因說(shuō)起來(lái)似乎簡(jiǎn)單——在對Android智能手機進(jìn)行評估時(shí)，沒(méi)人知道在谷歌為Android安全漏洞開(kāi)發(fā)出補丁以后，哪家廠(chǎng)商會(huì )向用戶(hù)提供補丁——開(kāi)放的Android，在系統版本上呈現“碎片化”，每個(gè)手機品牌、不同的機型，其OS版本進(jìn)度不一，這就為Bug提供了生存空間。 文/廣州日報記者李光焱

“打補丁”滯后

據悉，劍橋大學(xué)的研究人員收集了2萬(wàn)多部安裝了Device Analyzer應用的Android設備，并進(jìn)行數據分析。分析結果表明，在過(guò)去5年時(shí)間里，87%的Android設備都容易受到公共領(lǐng)域中出現的11個(gè)安全漏洞里至少一個(gè)的侵害，這些漏洞包括最近剛被發(fā)現的TowelRoot和FakeID等。

研究人員丹尼爾·托馬斯(Daniel Thomas)等在報告中稱(chēng)，今天的Android安全市場(chǎng)就像個(gè)檸檬市場(chǎng)(The Market for Lemons，也稱(chēng)次品市場(chǎng)、信息不對稱(chēng)的市場(chǎng))。廠(chǎng)商與用戶(hù)之間存在信息不對稱(chēng)，前者知道設備是不是安全以及是否會(huì )進(jìn)行安全升級，但用戶(hù)卻不知道。

研究還發(fā)現，Android設備平均每年會(huì )收到1.26次的安全更新。研究者還特地設計了一種“FUM”評分體系，以便給每家廠(chǎng)商在向用戶(hù)提供安全補丁方面的表現打分。

據這個(gè)評分體系，谷歌“親兒子”Nexus手機得分為5.2分，在各種Android設備中是最高的；其次是LG，得分為4.0分；摩托羅拉，3.1分；三星，2.7分；排在后面的則是索尼、HTC和華碩。

Google Now可被“黑”

伴隨這一份研究報告的是最新的漏洞——黑客可利用無(wú)線(xiàn)電在5米左右的范圍內對語(yǔ)音助手Google Now發(fā)動(dòng)攻擊，讓手機撥打付費電話(huà)，瀏覽惡意網(wǎng)站或者發(fā)送垃圾信息。當然，同時(shí)中招的還有蘋(píng)果的Siri.

法國兩名安全研究者稱(chēng)，只要用戶(hù)在手機上插入了耳麥，他們就可以利用無(wú)線(xiàn)電波悄悄地激活任何一部Android手機上的Google Now或iPhone手中上的Siri.

利用這一漏洞，“黑客”可撥打電話(huà)，發(fā)送短信。還可以讓Siri或Google Now撥打黑客的號碼，將手機變身為竊聽(tīng)設備；也可以瀏覽惡意網(wǎng)站，或通過(guò)電子郵件、Facebook或Twitter發(fā)送垃圾信息。

好在，這種攻擊方式只能攻擊已插入具有麥克風(fēng)功能的耳機的智能手機。此外，許多Android手機并未在鎖屏狀態(tài)下啟用Google Now，或只能在識別出用戶(hù)的語(yǔ)音時(shí)才作出響應，如此以一來(lái)難度高很多。