最近，TheBestVPN 根據「美國國家標準技術研究院國家漏洞數據庫」公布的官方數據，整理出了一份包含市面上常見系統或產品的「漏洞警報」。其中包括了過去二十年里漏洞最多的系統/產品。

微軟、IBM 等老牌科技公司推出的產品中被發現的漏洞數量更多，其中微軟開發的產品在過去 20 年(1999-2019)里一共被發現了 6814 個漏洞，位列第一，前五名的完整榜單如下：

• Microsoft — 6814個漏洞
• Oracle — 6115個漏洞
• IBM — 4679個漏洞
• Google — 4572個漏洞
• 蘋果 — 4512個漏洞

但過去的一年里，由 Google 開發的 Android 系統一共被披露了 414 個漏洞，是 2019 年漏洞最多的系統。根據該報告，Android 系統在 2016 年和 2017 年也分別有 525 個和 843 個漏洞被發現，這使其同樣成為了是這兩年漏洞最多的系統。

面對這樣的結果，Google 發言人在回應外媒時卻發表了不一樣的看法：「我們致力于提高透明度，并每月發布關于 Android 系統安全問題的公共安全公告，以加強整個生態系統的安全性。我們不同意這些觀點，即將已解決的安全問題數量視為衡量系統安全性的依據。這實際上是 Android 生態系統按預期開放性運行的結果。」

作為一款開源的系統，Android 被免費開放給了第三方廠商使用，這也就意味著 Google 失去了協調軟件和硬件的能力，結果就是第三方廠商不規范操作或者第三方硬件導致的安全漏洞也越來越多。畢竟不同于 iOS 的封閉性，Android 開源的特性意味著它需要對更多的芯片和硬件「更加友好」，而來自手機上游廠商的硬件缺陷也可能傳遞到使用 Android 系統的設備上。

[[317881]]

今年三月份谷歌就曾經修復了一個存在于 CPU 固件中的安全漏洞后門，該漏洞使得惡意程序通過簡單腳本就可獲得使用聯發科 64 位芯片的 Android 設備訪問權限，因此會影響到數百種智能手機、平板電腦和智能機頂盒。

無獨有偶，2016 年被曝出的存在于高通 GPU 驅動中的「QuadRooter 漏洞」同樣是來自手機上游廠商的安全問題，而且由于高通的市場占有率更高，所以這一漏洞在當時影響了全球約 9 億臺 Android 設備。

「QuadRooter 漏洞」中的其中一個甚至還允許攻擊者將惡意代碼隱藏在圖片的 Exif 數據中，當受害者的設備打開了這張圖片時便會進行攻擊。這種低交互、低利用難度、低感知的特性也使得該漏洞成為當年嚴重程度最高的漏洞之一。

[[317882]]

此外，第三方 OEM 廠商對于 Android 系統的不規范開發也是引發安全漏洞的原因之一。為了在市場上實現差異化，許多 Android 設備廠商都會對系統進行定制化，例如國內的 MIUI、EMUI、ColorOS 等，其中某些廠商甚至會為了某些獨家功能對 Android 內核代碼進行修改，而在代碼增添的過程中也難免會增加整個系統安全風險。

2015 年，谷歌的安全人員在研究 OEM 廠商在 Android 中添加的代碼的安全性時，便發現了三星 Galaxy S6 Edge 中存在多處漏洞，攻擊者可以借助這些漏洞制作具有系統特權的文件，竊取用戶電子郵件，并在內核中執行代碼，同時增加特權和非特權應用。

[[317883]]

事實上，這種由于 OEM 手機廠商私自修改代碼而引發的安全漏洞在 Android 手機廠商中非常普遍。而谷歌為了杜絕這種情況的發生，甚至在今年二月份向部分 OEM 廠商發布警告。Google Project Zero 研究員表示，以三星為代表的多家智能手機廠商通過添加下游自定義驅動的方式，直接硬件訪問 Android 內核的做法會引發更多的漏洞，從而導致現存于 Linux 內核的多項安全功能失效。

Android 開源的特性使它一舉超越其他 OS，成為市場占有率最高的手機操作系統。但在享受這種紅利的同時，開源的「副作用」也在困擾著 Google，其碎片化和安全性的問題也越來越引發關注。但作為消費者的我們，除了保持安全的用機習慣并保證系統的及時更新以外，好像也做不了什么。