打补丁不及时

据外媒近日报道，英国剑桥大学的研究显示，近90%的Android设备都存在至少一个重大漏洞，原因是Android厂商未能为这些设备提供补丁。原因说起来似乎简单——在对Android智能手机进行评估时，没人知道在谷歌为Android安全漏洞开发出补丁以后，哪家厂商会向用户提供补丁——开放的Android，在系统版本上呈现“碎片化”，每个手机品牌、不同的机型，其OS版本进度不一，这就为Bug提供了生存空间。文/广州日报记者 李光焱

“打补丁”滞后

据悉，剑桥大学的研究人员收集了2万多部安装了Device Analyzer应用的Android设备，并进行数据分析。分析结果表明，在过去5年时间里，87%的Android设备都容易受到公共领域中出现的11个安全漏洞里至少一个的侵害，这些漏洞包括最近刚被发现的TowelRoot和FakeID等。

研究人员丹尼尔·托马斯(Daniel Thomas)等在报告中称，今天的Android安全市场就像个柠檬市场(The Market for Lemons，也称次品市场、信息不对称的市场)。厂商与用户之间存在信息不对称，前者知道设备是不是安全以及是否会进行安全升级，但用户却不知道。

研究还发现，Android设备平均每年会收到1.26次的安全更新。研究者还特地设计了一种“FUM”评分体系，以便给每家厂商在向用户提供安全补丁方面的表现打分。

据这个评分体系，谷歌“亲儿子”Nexus手机得分为5.2分，在各种Android设备中是最高的;其次是LG，得分为4.0分;摩托罗拉，3.1分;三星，2.7分;排在后面的则是索尼、HTC和华硕。

Google Now可被“黑”

伴随这一份研究报告的是最新的漏洞——黑客可利用无线电在5米左右的范围内对语音助手Google Now发动攻击，让手机拨打付费电话，浏览恶意网站或者发送垃圾信息。当然，同时中招的还有苹果的Siri。

法国两名安全研究者称，只要用户在手机上插入了耳麦，他们就可以利用无线电波悄悄地激活任何一部Android手机上的Google Now或iPhone手中上的Siri。

利用这一漏洞，“黑客”可拨打电话，发送短信。还可以让Siri或Google Now拨打黑客的号码，将手机变身为窃听设备;也可以浏览恶意网站，或通过电子邮件、Facebook或Twitter发送垃圾信息。

好在，这种攻击方式只能攻击已插入具有麦克风功能的耳机的智能手机。此外，许多Android手机并未在锁屏状态下启用Google Now，或只能在识别出用户的语音时才作出响应，如此以一来难度高很多。

(责任编辑：腰编辑)