高通&联发科双双中枪,漏洞影响十亿手机用户

简介:
   
    高通和联发科双双中枪了。

根据谷歌在3月7日发布的最新 Android 安全补丁,有7个高危漏洞被爆出来。其中,来自高通和联发科的硬件漏洞各占一席。这些漏洞极端危险,可以导致黑客对手机实施最残酷的虐待——Root。Root对于安卓手机来说,大致相当于一个人的免疫系统被彻底破坏:

一旦手机被 Root,而机主还懵然无知,就会导致它的所有通话记录和手机文件被窃取,甚至还可能被偷拍、录音和定位跟踪。

其实,高通和联发科这两个大厂被爆出漏洞并不稀奇,在过去,很多Root行为,包括我们可以下载到的 Root 工具,都是利用处理器或与之相关的硬件驱动漏洞完成的。

高通&联发科双双中枪,漏洞影响十亿手机用户

由于这些漏洞作用于特定的内核版本,但是理论上仍然有十亿设备受到威胁。不过不用担心,这些漏洞是由安全研究员,也就是白帽子黑客挖掘出来并且第一时间报给谷歌的。可以说这些漏洞还没来得及出生,就已经被判死刑了。

Android 系统在 6.0 以后,采取了定期打补丁的方式进行升级,然而有关打补丁却远不像想象中那么简单。安全专家表示:

由于各家使用的芯片和集成硬件不同,所以驱动漏洞补丁不能以通用的方式下发给用户。这些补丁会由谷歌分发给合作的手机厂商,当然手机厂商也可以向谷歌索取,由手机厂商通过自家 ROM 升级进行推送。

但是,补丁毕竟是补丁。对于手机厂商来说,频繁地给系统推送补丁,有诸多副作用:

  • 首先,会让用户觉得厌烦;

  • 其次,这么频繁推送安全补丁,反倒会让用户产生一种不安全的感觉;

  • 另外,新的补丁由于没有经过大量测试,有可能会让系统变得不稳定。

所以结果就是:很多手机厂商对于用户直观的体验很重视,反倒对于改进背后的安全性表现冷淡。除了 Nexus 这类“亲儿子”,其他品牌的手机在安全升级方面可谓是拖拖拉拉。

高通&联发科双双中枪,漏洞影响十亿手机用户

【2015年安卓手机碎片化情况/图片来自OpenSignal】

由于这些高危漏洞被“白帽子”直接提交给谷歌,所以实际上攻击代码并没有流出来。然而,有一种可能性是存在的,那就是:

谷歌的补丁信息表明,这些漏洞是真实存在的。所以其他“黑帽子”黑客在理论上有可能通过自主研究,找到漏洞的所在,进而用这些漏洞来攻击尚未打完补丁的手机。

面对碎片化的手机生态,大部分手机很难跟上谷歌升级的步伐。可以说,虽然谷歌的补丁越来越多,但 Android 的世界非但没有变得更安全,反而更危险了。

说到底,手机的安全性很多时候就像城市中的下水道一样,用户很难体会到,但却代表了厂商的良心。

   
 
  本文作者: 史中

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
6月前
|
人工智能 安全 物联网
MWC2024联发科AI手机芯片亮点多多
近日,联发科在MWC 2024(2024 世界移动通信大会)上展出了一系列令人瞩目的AI和移动通信技术突破,以“连接AI宇宙”(Connecting the AI-verse)的展厅吸引了无数业界精英和媒体的目光。特别是其现场的生成式AI技术展示,更是引发了广泛的关注和热议。
|
6月前
|
人工智能 安全 Android开发
OPPO召开AI战略发布会,联发科天玑芯构建AI手机时代计算底座
近期,OPPO举办AI战略发布会,会上正式推出了由OPPO AI超级智能体与AI Pro智能体开发平台共同构建的OPPO 1+N智能体生态战略。与此同时,OPPO与联发科展开深度合作,展示了双方在AI手机领域的创新成果,以共同推进“AI手机(AI Smartphone)”的发展,为广大用户带来更为智能、便捷和高效的下一代AI体验。
|
5月前
|
网络协议 Android开发 数据安全/隐私保护
Android手机上使用Socks5全局代理-教程+软件
Android手机上使用Socks5全局代理-教程+软件
4787 2
|
6月前
|
监控 安全 Android开发
【新手必读】Airtest测试Android手机常见的设置问题
【新手必读】Airtest测试Android手机常见的设置问题
200 0
|
6月前
|
XML Java Android开发
Android Studio开发之使用内容组件Content获取通讯信息讲解及实战(附源码 包括添加手机联系人和发短信)
Android Studio开发之使用内容组件Content获取通讯信息讲解及实战(附源码 包括添加手机联系人和发短信)
443 0
|
6月前
|
Web App开发 前端开发 网络安全
前端分析工具之 Charles 录制 Android/IOS 手机的 https 应用
【2月更文挑战第21天】前端分析工具之 Charles 录制 Android/IOS 手机的 https 应用
109 1
前端分析工具之 Charles 录制 Android/IOS 手机的 https 应用
|
6月前
|
存储 数据库 Android开发
Android实现手机内存存储功能
Android实现手机内存存储功能
66 2
|
6月前
|
网络协议 安全 Linux
如何使用Android手机通过JuiceSSH远程访问本地Linux服务器
如何使用Android手机通过JuiceSSH远程访问本地Linux服务器
|
6月前
|
传感器 物联网 Android开发
【Android App】物联网中查看手机支持的传感器及实现摇一摇功能-加速度传感器(附源码和演示 超详细)
【Android App】物联网中查看手机支持的传感器及实现摇一摇功能-加速度传感器(附源码和演示 超详细)
201 1
下一篇
无影云桌面