「威锋网」但谷歌认为这不代表系统不安全，Android是去年漏洞最多的系统最近

最近， TheBestVPN根据「美国国家标准技术研究院国家漏洞数据库」公布的官方数据，整理出了一份包含市面上常见系统或产品的「漏洞警报」。其中包括了过去二十年里漏洞最多的系统/产品。
微软、IBM等老牌科技公司推出的产品中被发现的漏洞数量更多，其中微软开发的产品在过去20年（1999-2019）里一共被发现了6814个漏洞，位列第一，前五名的完整榜单如下：
1）Microsoft—6814个漏洞
2）Oracle—6115个漏洞
3）IBM—4679个漏洞
4）Google—4572个漏洞
5）苹果—4512个漏洞

文章图片
但过去的一年里，由Google开发的Android系统一共被披露了414个漏洞，是2019年漏洞最多的系统。根据该报告， Android系统在2016年和2017年也分别有525个和843个漏洞被发现，这使其同样成为了是这两年漏洞最多的系统。

文章图片
面对这样的结果， Google发言人在回应外媒时却发表了不一样的看法：「我们致力于提高透明度，并每月发布关于Android系统安全问题的公共安全公告，以加强整个生态系统的安全性。我们不同意这些观点，即将已解决的安全问题数量视为衡量系统安全性的依据。这实际上是Android生态系统按预期开放性运行的结果。」
作为一款开源的系统， Android被免费开放给了第三方厂商使用，这也就意味着Google失去了协调软件和硬件的能力，结果就是第三方厂商不规范操作或者第三方硬件导致的安全漏洞也越来越多。毕竟不同于iOS的封闭性， Android开源的特性意味着它需要对更多的芯片和硬件「更加友好」，而来自手机上游厂商的硬件缺陷也可能传递到使用Android系统的设备上。

文章图片
今年三月份谷歌就曾经修复了一个存在于CPU固件中的安全漏洞后门，该漏洞使得恶意程序通过简单脚本就可获得使用联发科64位芯片的Android设备访问权限，因此会影响到数百种智能手机、平板电脑和智能机顶盒。
无独有偶， 2016年被曝出的存在于高通GPU驱动中的「QuadRooter漏洞」同样是来自手机上游厂商的安全问题，而且由于高通的市场占有率更高，所以这一漏洞在当时影响了全球约9亿台Android设备。
「QuadRooter漏洞」中的其中一个甚至还允许攻击者将恶意代码隐藏在图片的Exif数据中，当受害者的设备打开了这张图片时便会进行攻击。这种低交互、低利用难度、低感知的特性也使得该漏洞成为当年严重程度最高的漏洞之一。

文章图片
此外，第三方OEM厂商对于Android系统的不规范开发也是引发安全漏洞的原因之一。为了在市场上实现差异化，许多Android设备厂商都会对系统进行定制化，例如国内的MIUI、EMUI、ColorOS等，其中某些厂商甚至会为了某些独家功能对Android内核代码进行修改，而在代码增添的过程中也难免会增加整个系统安全风险。
2015年，谷歌的安全人员在研究OEM厂商在Android中添加的代码的安全性时，便发现了三星GalaxyS6Edge中存在多处漏洞，攻击者可以借助这些漏洞制作具有系统特权的文件，窃取用户电子邮件，并在内核中执行代码，同时增加特权和非特权应用。

文章图片
事实上，这种由于OEM手机厂商私自修改代码而引发的安全漏洞在Android手机厂商中非常普遍。而谷歌为了杜绝这种情况的发生，甚至在今年二月份向部分OEM厂商发布警告。 GoogleProjectZero研究员表示，以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式，直接硬件访问Android内核的做法会引发更多的漏洞，从而导致现存于Linux内核的多项安全功能失效。