哈拉閒聊
瀏覽 : 928
分享

[新聞] 高通&聯發科雙雙中槍,漏洞影響十億手機用戶

一般用戶

等級2

新手鄉民

最強之哲2016-3-18 11:41

高通和聯發科雙雙中槍了。
根據谷歌在3月7日發布的最新Android 安全補丁,有7個高危漏洞被爆出來。其中,來自高通和聯發科的硬件漏洞各佔一席。這些漏洞極端危險,可以導致黑客對手機實施最殘酷的虐待——Root。Root對於安卓手機來說,大致相當於一個人的免疫系統被徹底破壞:
一旦手機被Root,而機主還渾然無知,就會導致它的所有通話記錄和手機文件被竊取,甚至還可能被偷拍、錄音和定位跟踪。
其實,高通和聯發科這兩個大廠被爆出漏洞並不稀奇,在過去,很多Root行為,包括我們可以下載到的Root 工具,都是利用處理器或與之相關的硬件驅動漏洞完成的。

由於這些漏洞作用於特定的內核版本,但是理論上仍然有十億設備受到威脅。不過不用擔心,這些漏洞是由安全研究員,也就是白帽子黑客挖掘出來並且第一時間報給谷歌的。可以說這些漏洞還沒來得及出生,就已經被判死刑了。
Android 系統在6.0 以後,採取了定期打補丁的方式進行升級,然而有關打補丁卻遠不像想像中那麼簡單。安全專家表示:
由於各家使用的芯片和集成硬件不同,所以驅動漏洞補丁不能以通用的方式下發給用戶。這些補丁會由谷歌分發給合作的手機廠商,當然手機廠商也可以向谷歌索取,由手機廠商通過自家ROM 升級進行推送。
但是,補丁畢竟是補丁。對於手機廠商來說,頻繁地給系統推送補丁,有諸多​​副作用:
  • 首先,會讓用戶覺得厭煩;
  • 其次,這麼頻繁推送安全補丁,反倒會讓用戶產生一種不安全的感覺;
  • 另外,新的補丁由於沒有經過大量測試,有可能會讓系統變得不穩定。

所以結果就是:很多手機廠商對於用戶直觀的體驗很重視,反倒對於改進背後的安全性表現冷淡。除了Nexus 這類“親兒子”,其他品牌的手機在安全升級方面可謂是拖拖拉拉。
【2015年安卓手機碎片化情況/圖片來自OpenSignal】
由於這些高危漏洞被“白帽子”直接提交給谷歌,所以實際上攻擊代碼並沒有流出來。然而,有一種可能性是存在的,那就是:
谷歌的補丁信息表明,這些漏洞是真實存在的。所以其他“黑帽子”黑客在理論上有可能通過自主研究,找到漏洞的所在,進而用這些漏洞來攻擊尚未打完補丁的手機。
面對碎片化的手機生態,大部分手機很難跟上谷歌升級的步伐。可以說,雖然谷歌的補丁越來越多,但Android 的世界非但沒有變得更安全,反而更危險了。
說到底,手機的安全性很多時候就像城市中的下水道一樣,用戶很難體會到,但卻代表了廠商的良心。


我要對上面說有些修補漏洞有副作用送你一句話

你要的手機雖然會定期修補但會有安全性
一個不定期修補的手機會有安全性疑慮
哪個比較好

網址:在這裡
本文章最後由( 最強之哲 )於 2016-3-18 11:47 編輯

檢舉 回應

一般用戶

等級2

新手鄉民

NK2016-3-18 11:52

大大都說了 前提是ROOT~~以HTC來說不提供這樣的使用模式~~
反之有幾家手機還開放這些限制~他們的用戶應該才要堪慮~~
突然覺得HTC安全性把關的算很好~

檢舉 回應

分享