安全公司Codenomicon的研究人员分析了50款最流行的Android应用程序,发现超过半数应用未经用户同意明文向第三方广告网络发送用户数据;80%到90%的应用重复使用了软件库——其中大部分是开源库。
开源代码在理论上质量应该更高,但OpenSSL已经证明实际上完全不是一回事。
Codenomicon的首席安全专家称,终端产品继承了复用库的漏洞——这些漏洞有时候是糟糕的软件设计或实现中的逻辑错误,有时候这些bug已经识别和修复了;但有些bug就像 Heartbleed那样多年没有被发现。