據(jù)外媒近日報道，英國劍橋大學(xué)的研究顯示，近90%的Android設(shè)備都存在至少一個重大漏洞，原因是Android廠商未能為這些設(shè)備提供補丁。原因說起來似乎簡單——在對Android智能手機進行評估時，沒人知道在谷歌為Android安全漏洞開發(fā)出補丁以后，哪家廠商會向用戶提供補丁。

　　“打補丁”滯后

　　據(jù)悉，劍橋大學(xué)的研究人員收集了2萬多部安裝了Device Analyzer應(yīng)用的Android設(shè)備，并進行數(shù)據(jù)分析。分析結(jié)果表明，在過去5年時間里，87%的Android設(shè)備都容易受到公共領(lǐng)域中出現(xiàn)的11個安全漏洞里至少一個的侵害，這些漏洞包括最近剛被發(fā)現(xiàn)的TowelRoot和FakeID等。

　　研究人員丹尼爾·托馬斯(Daniel Thomas)等在報告中稱，今天的Android安全市場就像個檸檬市場(The Market for Lemons，也稱次品市場、信息不對稱的市場)。廠商與用戶之間存在信息不對稱，前者知道設(shè)備是不是安全以及是否會進行安全升級，但用戶卻不知道。

　　研究還發(fā)現(xiàn)，Android設(shè)備平均每年會收到1.26次的安全更新。研究者還特地設(shè)計了一種“FUM”評分體系，以便給每家廠商在向用戶提供安全補丁方面的表現(xiàn)打分。

　　據(jù)這個評分體系，谷歌“親兒子”Nexus手機得分為5.2分，在各種Android設(shè)備中是最高的;其次是LG，得分為4.0分;摩托羅拉，3.1分;三星，2.7分;排在后面的則是索尼、HTC和華碩。

　　Google Now可被“黑”

　　伴隨這一份研究報告的是最新的漏洞——黑客可利用無線電在5米左右的范圍內(nèi)對語音助手Google Now發(fā)動攻擊，讓手機撥打付費電話，瀏覽惡意網(wǎng)站或者發(fā)送垃圾信息。當(dāng)然，同時中招的還有蘋果的Siri。

　　法國兩名安全研究者稱，只要用戶在手機上插入了耳麥，他們就可以利用無線電波悄悄地激活任何一部Android手機上的Google Now或iPhone手中上的Siri。

　　利用這一漏洞，“黑客”可撥打電話，發(fā)送短信。還可以讓Siri或Google Now撥打黑客的號碼，將手機變身為竊聽設(shè)備;也可以瀏覽惡意網(wǎng)站，或通過電子郵件、Facebook或Twitter發(fā)送垃圾信息。

　　好在，這種攻擊方式只能攻擊已插入具有麥克風(fēng)功能的耳機的智能手機。此外，許多Android手機并未在鎖屏狀態(tài)下啟用Google Now，或只能在識別出用戶的語音時才作出響應(yīng)，如此以一來難度高很多。