【搜狐数码消息】4月15日消息,上周被发现的Heartbleed OpenSSL安全漏洞受到了外界的高度关注,这不仅是因为它影响了互联网上绝大多数的安全网站,客户端随后被发现同样是不安全的。
除此之外,安全专家还发现,Android 4.1 Jelly Bean同样易受到Heartbleed的攻击,而这正是用户人数最多的Android版本。
谷歌在本月初公布了Android各个版本的占有率。在所有可访问Google Play商店的Android设备当中,有5.3%的用户升级到了最新的KitKat,8.9%的用户停留在Jelly Bean 4.3,18.1%使用的是Jelly Bean 4.2,而34.4%的设备运行的是受影响的Jelly Bean 4.1。
Android 4.1于2012年中期发布,距今已过去1年多的时间,许多旗舰设备都已经升级到了更高的系统版本,而那些没有获得升级的今后可能也将会停留在这个版本上了。
谷歌并未公布使用Android 4.1.1和4.1.0版本的具体数据,但我们只能希望这34.4%的设备当中有大多数都已经升级到了未受影响的4.1.2版本。
Heartbleed的确引发了外界对于Android漏洞修复和升级速度的疑问。举个例子,去年发布的Galaxy S4在Jelly Bean 4.3发布9个月之后才获得了升级,而Nexus设备仅用了一周。
谷歌为4.1.1制作的修复补丁现在已经发给了手机制造商和电信公司,这两类公司一直都充当着Android升级的守门人角色,而本次的危机也是在测试Android生态系统究竟能够在多快的时间内作出回应。
笔者认为,Android生态系统对于Heartbleed的修复肯定不会是一个快速且无痛的过程。
而如果这个问题影响到的是Android的竞争者——iOS、Windows Phone、Firefox OS和黑莓——这些平台背后的公司都有能力在短时间内向数以百万计的用户推送升级。
在近些日子,谷歌一直在尝试将升级内容加入到自己的核心应用当中,这种“曲线救国”的处理方式虽然聪明,但无法从根本上解决问题。
而如果是系统的核心库出了问题,应用升级显然就无法起到作用了。唯一的解决办法是推出核心升级。
Android之所以在运营商和硬件厂商那里如此流行,正是因为他们可以对系统进行五花八门的定制,来推广自己的服务和产品。但是,这俨然已经成为了Android的致命缺陷。
对于Android来说,Heartbleed没有影响到任何三星旗舰手机所使用的系统版本,甚至是4.1.2,这都是幸运的。而用户需要被告知,如果内核当中存在重大安全问题将会影响到被大范围使用的Android版本,事情会发展到什么样的地步。
可以看出,Android 4.1.1安全补丁的体验并不好。谷歌的反应速度很快,但此次事件当中的其他人显然都在掉链子。如果运营商和硬件厂商继续这样反应迟钝,谷歌就需要去想出一种方式来单方面地保护自己的用户——虽然这可能会很惨烈,但谷歌将因此追赶上竞争者的水平。
Android这次算是逃过一劫,但如果类似的情况下一次再发生,它可能就没那么走运了。(Eskimo)
来源: 搜狐数码
编辑: