本网站可能会通过此页面上的链接获得会员佣金。 使用条款.

在这一点上’不可辩驳的是:Android生态系统遍布各种版本,并被不同且计划不周的第三方硬件锁定在适当的位置,这使您的安全性降低了。本周,以色列安全公司NorthBit 想办法 (PDF)使用久负盛名的“Stagefright”攻击数以亿计手机的漏洞。它被称为“隐喻”(Metaphor),可以很容易地与已经由安全研究人员并驾齐驱的犯罪黑客已经设计出的攻击相提并论。

在2015年10月1日当天或之后运行手机的任何人都应该安全—问题不在于谷歌没有’不知道如何解决该漏洞。相反,问题在于数量惊人的设备根本无法更新和保护— some 2.75亿,根据NorthBit’s analysis. That’s better than the 最初报告 十亿 或易受攻击的设备,但从 proportion of 安卓 users 使用2.2至4.0、5.0或5.1版本,’仍然令人生畏。

Exploits based on the 舞台惊魂 bug will remain dangerous for the foreseeable future, fixed for many more by the passage of time than the active efforts of technology companies.

公平地说,隐喻是我们所知道的Stagefright漏洞的第一个真正危险的实现— 和 it’相当详尽。实际上,通过在实际攻击之前进行某种黑客侦查来工作。当恶意MPEG4视频故意使Android崩溃时,问题就开始了’视频服务器,并收到硬件错误报告作为奖励。接下来,用另一个崩溃限制的视频重复该过程,获取更多信息— 和 然后 攻击。研究人员说该漏洞没有’只能对所有手机进行一次整体攻击,因此必须针对每款手机量身定制,因此显而易见的解决方案是开发一种可以自动量身定制的漏洞利用程序 本身 每个目标。

舞台惊魂在易受攻击的设备上,此方法可使攻击者通过电话’大约20秒的防御时间。由于它主要通过元数据工作,因此它不会’甚至不一定需要用户进行任何激活。只需加载一个诱骗陷阱页面即可允许访问。更坏的隐喻’的攻击方法也是第一个将Android 5.0和5.1引入Stagefright危险区域的方法。

对于Android和Google来说,这是一个存在的问题:是否’对于移动操作系统或无人驾驶汽车,谷歌一直认为,一个由相互连接的硬件和软件开发人员组成的世界,总会击败拥有完全控制权的单一,单一的公司。在某些方面,他们’被证明是正确的;苹果可以’提供Android生态系统的广度,多样性或低成本选择。但是,Android模型的这些优势能持续多长时间抵消消费者心目中日益明显的劣势?

安卓最后,设备制造商的责任至少与Google一样重要’的核心Android开发人员。谷歌曾游说三星等公司,他们至少要对手机进行纯粹的安全更新,因此只能保持有限的成功,因此要提高警惕。在许多情况下,希望尽可能安全的Android用户最终被迫“root”他们的手机供开发人员使用—通常会终止其保修期限。

这种情况将持续到用户群对移动安全性有了更大的关注之前。目前,最了解问题的人是最有可能拥有新的,经过全面更新的手机的人。某些硬件公司的脚拖拉最有可能受到伤害的人,也是最不知道的人—因此,下一次去其他地方惩罚其设备制造商的可能性最小。