Android 再爆新漏洞,9.0 以下所有手机全部中招!
作为移动操作系统市场的龙头老大 Android,除了大版本更新发布一些新特性外,日常的小版本还是以修复诸多的 Bug 为主。但这一次的 Bug 与以往有所不同,它将影响 Android 9.0 Pie 版本以下所有的 Android 手机,且同时 Google 表示不再对旧版本的这个漏洞进行修复,希望 Android 手机用户自觉升级到最新版本!
设备可被追踪,Android 9.0 以下版本全中招
近日,据外媒 iTWire 报道,安全研究机构 Nightwatch Cybersecurity 发现一个新漏洞,它可以使 App 绕过权限检查和现有的防护,访问系统广播信息,因此用来“唯一识别和跟踪任何 Android 设备”,也可以用于“地理定位用户”。
这一漏洞(CVE-2018-9489)能将有关用户设备的信息向设备上运行的所有 App 公开。这其中包括 WiFi 网络名称、BSSID(等价于 MAC)、本机 IP 地址、DNS 服务器信息和 MAC 地址。“同时由于 MAC 地址不会改变并且与硬件相关联,因此即使使用 MAC 地址随机化,也会被识别和跟踪”,Nightwatch 表示道。
在流氓应用获取此信息访问权限后,可以使用它对任何 Android 设备进行识别、追踪,甚至进行地理定位。恶意应用访问其他网络信息后,还可能在本地的 WiFi 网络中进行探索甚至攻击。
目前 Google 已在 Android 9.0 Pie 中修复了该漏洞,但这一漏洞还可能影响 Android 9.0 Pie 以前的所有 Android 版本。对此,Google 拒绝修补旧版本中的漏洞,除非用户自己主动升级到 Android 9.0。
仅一个月大的 Android 9.0 Pie, 受欢迎吗?
这样看来,Android 似乎在学 iOS 强制升级的手段,但是相较单一闭源的 iOS,开源的 Android 真的是想让用户升级他们就会乖乖升级吗?
事实告诉我们,当然不会!
在经过一年的研发以及数月的测试,最新版本的 Android 9.0 Pie 于上个月 7 号面向全球发布,而近一个月后,部分国产手机商也开始陆续发布基于 Android 9.0 打造的自家操作系统:
8 月 8 日,小米 MIX 2S 推出基于 Android 9 定制版的 MIUI 10。
9 月 2 日,华为发布 EMUI 9.0,基于 Android P 深度打造,采用极简的设计理念,以“Enable a Quality Life(质享生活)”为 Slogan。华为官方对此系统的评价,“流畅度提升 12.9%、App 启动更加快速、游戏场景的触控体验和游戏助手的功能体验上都得到了显著提升,平均触控响应延迟时间降低 36%。”
今天,一加科技宣布为一加 6 手机推送基于 Android 9.0 Pie 的 OxygenOS 公测第一版,带来全新 Android P 视觉体验、导航交互模式,以及内置一加自定义功能。
基于此,我们都知晓每个手机制造商都会基于开源的 Android 版本定制优化成适配自家手机的操作系统,要想让全球的用户为躲避该 Bug 都直接升级最新版本,难度可想而知了。且根据 Google 于 8 月 31 日更新的最新 Android 版本市场份额表来看,一个月大的 Android 9.0 根本没上榜,也就意味着它现在的市场份额连 0.1% 都不到。
整体看来,用户量最多的还要属 Android 6.0 Marshmallow,其次是 Android 7.0,同时共计还有 12.7% 的用户停留在 Android 5.0 版本之前。
Android 系统更新也不慢,用户为何不愿升级?
素来流行一句话,对于新系统,iOS 用户不想升非得升,Android 用户想升没得升。
从设备和手机厂商来看,其中首要原因,也正如上文所述,iOS 系统仅适用 iPhone、iPad 等苹果设备上,而 Android 设备并不是由 Google 一家生产,全球有无数的 Android 手机厂商,且其生产的每款 Android 手机上的底层芯片都不一样。因此,不同的厂商需要根据自家的手机来修改系统适配、预装软件,当然需要花费大量的时间,通常并不能第一时间升级到最新的操作系统。
其次,如今国产手机迅猛崛起,手机更新换代速度加快,旧款手机的配置逐渐带不动新系统的运行,会导致卡顿、死机、黑屏等多种 Bug。不过这个问题也不止 Android 手机,苹果此前也因 iOS 系统故意导致手机变慢遭到用户起诉。
最后,在几次推动系统升级的努力失败后,Google 也不再强求用户必须升级到新版的 Android 系统。
从用户的角度来看,如果现有的操作系统没有太大的问题,大多数普通用户是不愿费事升级到最新的 Android 版本,毕竟升级之后也未必能使自己满意。
“征稿啦”
CSDN 公众号秉持着「与千万技术人共成长」理念,不仅以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件,更有「技术头条」专栏,深度解读行业内的热门技术与场景应用,让所有的开发者紧跟技术潮流,保持警醒的技术嗅觉,对行业趋势、技术有更为全面的认知。
如果你有优质的文章,或是行业热点事件、技术趋势的真知灼见,或是深度的应用实践、场景方案等的新见解,欢迎联系 CSDN 投稿,联系方式:微信(guorui_1118,请备注投稿+姓名+公司职位),邮箱(guorui@csdn.net)。
————— 推荐阅读 —————