安卓手機安全漏洞:你的手機是否安全?
如果你是 Google Pixel 手機的用戶,你的手機可能已經修補了一個安全漏洞,這個漏洞可能讓惡意的 PNG 圖片完全破壞你的系統。然而,如果你的手機不是 Pixel,你很可能仍然處於這個安全風險之中。這是一個需要嚴肅看待的問題。
Google 最近針對 Pixel 設備發布了二月份的安全更新,這個更新修復了一個漏洞,該漏洞允許惡意 PNG 圖片在特權進程中執行任意代碼。簡單來說,這意味著惡意程式碼能夠在高權限下運行,並竊取你的個人信息。而你所需要做的,僅僅是打開這個惡意的 PNG 圖片。
這表示,你接收到的任何 PNG 圖片,無論是通過電子郵件、即時通訊應用程式還是 MMS 短信,都可能劫持你的手機系統並竊取重要資料。當然,這個問題不包括已經受到保護的 Pixel 手機。而三星、LG、OnePlus 以及其他大多數手機製造商的設備仍然容易受到這個漏洞的攻擊。在安全更新方面,製造商需要提高他們的標準,這點毋庸置疑。
我目前手邊有四款安卓手機:Pixel 2 XL、Pixel 1、Samsung Galaxy S9 和 OnePlus 6T。我的兩款 Pixel 手機已經更新到二月份的補丁,並且受到了保護。然而,S9 和 6T 仍然只有十二月份的安全補丁。這意味著,像這次的 PNG 漏洞等新的安全問題,在這兩款手機上都還沒有被修復。考慮到三星 Galaxy 系列是全球最受歡迎的智能手機之一,這種情況令人相當擔憂。
這不僅僅是一個當前的問題,更是一個持續需要關注的動態問題。只要新的漏洞被發現,安全更新的延遲就永遠是一個潛在的風險。簡單來說,只要有漏洞存在,這個問題就永遠不會消失。
安卓系統的「碎片化」問題由來已久。儘管如此,安全更新不應該和完整的系統更新一樣存在延遲。這些不是「新功能很酷,我想要它們」的更新,而是保護你寶貴數據的關鍵更新。無論更新多小,消費者都不應該忽略它們,這是絕對不容忽視的。
目前,許多製造商在保護用戶安全方面做得非常糟糕。雖然沒有收到完整的系統更新(甚至是小改版)可能令人煩惱,但沒有收到安全更新是絕對無法接受的。這表示你的手機製造商不重視你的數據,他們認為你的資訊不夠重要,所以他們懶得去保護。
安全更新不像完整的系統更新那樣龐大。它們是由 Google 每月發佈的,因此它們更小,更容易整合到系統中。即便是對於第三方手機製造商來說,也沒有真正的藉口不將其列為優先事項。
去年,Google 要求製造商為手機提供至少兩年的安全更新(Pixel 手機保證三年)。但問題是,它們只需要在一年內「至少四次」更新。也就是說,他們只需要每季度更新一次,而不是每月更新一次。這也是大多數製造商正在做的事情,最低限度,而這顯然遠遠不夠好。
原因很簡單:新的漏洞不斷被發現。我不希望我的數據在等待手機製造商每三個月才發布一次安全更新時,暴露在潛在的風險之中。我希望能在 Google 發布更新時就立即獲得它們,你也應該這樣要求。
這個 PNG 漏洞只是一個例子。每個月都有類似的問題被發現。而大多數製造商在數月後才推出安全更新,這使得你的數據暴露在危險中的時間過長。
雖然我很希望有一個簡單的解決方案,但很遺憾的是,並沒有。在製造商開始認真對待你的數據安全之前,只有一個真正的解決方案:購買其他手機。蘋果和 Google 一再證明他們關心用戶的數據,因此,對於想要盡力保護數據的用戶來說,iPhone 和 Pixel 手機都是很棒的選擇。
雖然這聽起來很老套(老實說,我已經厭倦了說這個):是時候用你的錢包投票了。不要從那些不關心你數據的製造商那裡購買手機。只有這樣,他們才能知道事情的嚴重性。