最近，TheBestVPN根據“美國國家標準技術研究院國家漏洞數據庫”公佈的官方數據，整理出了一份包含市面上常見系統或產品的“漏洞警報”。其中包括了過去二十年裡漏洞最多的系統/產品。微軟、IBM等老牌科技公司推出的產品中被發現的漏洞數量更多，其中微軟開發的產品在過去20年（1999-2019）裡一共被發現了6814個漏洞，位列第一。

前五名的完整榜單如下：

1）Microsoft — 6814個漏洞

2）Oracle — 6115個漏洞

3）IBM — 4679個漏洞

4）Google — 4572個漏洞

5）蘋果 — 4512個漏洞

但過去的一年裡，由Google 開發的Android 系統一共被披露了414 個漏洞，是2019 年漏洞最多的系統。根據該報告，Android 系統在2016 年和2017 年也分別有525 個和843 個漏洞被發現，這使其同樣成為了是這兩年漏洞最多的系統。

面對這樣的結果，Google 發言人在回應外媒時卻發表了不一樣的看法：“我們致力於提高透明度，並每月發布關於Android 系統安全問題的公共安全公告，以加強整個生態系統的安全性。我們不同意這些觀點，即將已解決的安全問題數量視為衡量系統安全性的依據。這實際上是Android 生態系統按預期開放性運行的結果。”

作為一款開源的系統，Android被免費開放給了第三方廠商使用，這也就意味著Google失去了協調軟件和硬件的能力，結果就是第三方廠商不規範操作或者第三方硬件導致的安全漏洞也越來越多。畢竟不同於iOS的封閉性，Android開源的特性意味著它需要對更多的芯片和硬件“更加友好”，而來自手機上游廠商的硬件缺陷也可能傳遞到使用Android系統的設備上。

今年三月份谷歌就曾經修復了一個存在於CPU 固件中的安全漏洞後門，該漏洞使得惡意程序通過簡單腳本就可獲得使用聯發科64 位芯片的Android 設備訪問權限，因此會影響到數百種智能手機、平板電腦和智能機頂盒。

無獨有偶，2016 年被曝出的存在於高通GPU 驅動中的“QuadRooter 漏洞”同樣是來自手機上游廠商的安全問題，而且由於高通的市場佔有率更高，所以這一漏洞在當時影響了全球約9 億台Android 設備。

“QuadRooter 漏洞”中的其中一個甚至還允許攻擊者將惡意代碼隱藏在圖片的Exif 數據中，當受害者的設備打開了這張圖片時便會進行攻擊。這種低交互、低利用難度、低感知的特性也使得該漏洞成為當年嚴重程度最高的漏洞之一。

此外，第三方OEM 廠商對於Android 系統的不規範開發也是引發安全漏洞的原因之一。為了在市場上實現差異化，許多Android 設備廠商都會對系統進行定制化，例如國內的MIUI、EMUI、ColorOS 等，其中某些廠商甚至會為了某些獨家功能對Android 內核代碼進行修改，而在代碼增添的過程中也難免會增加整個系統安全風險。

2015年，谷歌的安全人員在研究OEM廠商在Android中添加的代碼的安全性時，便發現了三星 Galaxy S6 Edge中存在多處漏洞，攻擊者可以藉助這些漏洞製作具有系統特權的文件，竊取用戶電子郵件，並在內核中執行代碼，同時增加特權和非特權應用。

事實上，這種由於OEM 手機廠商私自修改代碼而引發的安全漏洞在Android 手機廠商中非常普遍。而谷歌為了杜絕這種情況的發生，甚至在今年二月份向部分OEM 廠商發布警告。Google Project Zero 研究員表示，以三星為代表的多家智能手機廠商通過添加下游自定義驅動的方式，直接硬件訪問Android 內核的做法會引發更多的漏洞，從而導致現存於Linux 內核的多項安全功能失效。

Android 開源的特性使它一舉超越其他OS，成為市場佔有率最高的手機操作系統。但在享受這种红利的同時，開源的“副作用”也在困擾著Google，其碎片化和安全性的問題也越來越引發關注。但作為消費者的我們，除了保持安全的用機習慣並保證系統的及時更新以外，好像也做不了什麼。