新浪手機訊 4月13日上午消息��,《連線》雜志最近做了一篇報道�����,揭開了Android系統(tǒng)在安全補丁方面的亂象�����,很多谷歌發(fā)布的安全補丁不僅延遲推送,甚至還有廠商告訴用戶已經(jīng)最新����,卻偷偷地跳過了該有的安全補丁����。
“這些家伙只是更改日期,根本沒裝補丁”
一直以來���,谷歌都在努力爭取讓幾十家Android智能手機制造商���、以及數(shù)百家運營商、定期推送安全更新���,但是一家德國安全公司在針對數(shù)百臺Android手機進行調(diào)查后���,發(fā)現(xiàn)了一個令人不安的新問題:許多Android手機廠商不僅沒給用戶提供補丁,或是延遲數(shù)月才發(fā)布�����;甚至有時也會告訴用戶手機固件已經(jīng)是最新的�,但卻偷偷地跳過了補丁���。
周五,在阿姆斯特丹舉行的“Hack in the Box”黑客安全大會上����,研究人員查看了近兩年的數(shù)百款A(yù)ndroid手機系統(tǒng)代碼,大部分存在安全隱患����,缺一打補丁的手機不少見。研究人員Nohl說:“雖然補丁很小�,但對手機安全很重要。最糟糕情況是����,Android手機廠商在設(shè)備故意歪曲事實。這些家伙只是在推送時候改了個更新日期���,壓根沒有補丁�������!
安全機構(gòu)SRL測試了1200部手機���,這些設(shè)備有谷歌自己��,以及三星��、摩托羅拉���、HTC等主要安卓手機廠商����,還有中興,TCL等中國公司制造�。
他們發(fā)現(xiàn),除了谷歌自己如Pixel和Pixel 2等旗艦機�����,即使是頂級手機廠商在安全補丁這塊也相當(dāng)糊涂�,其他二三線廠商的更新記錄更是混亂。
研究人員Nohl說�,這種假裝裝了補丁的問題是最要命的,他們告訴用戶有���,其實沒有�,從而產(chǎn)生了一種虛假的安全感。這是故意的欺騙���。
大公司打補丁不積極
還有種更常見的情況是��,像索尼或三星這樣的大公司也會錯過一兩個補丁�。很多重要更新并沒有���,例如三星2016年的手機J5或J3�,非常坦誠告訴用戶哪些補丁已經(jīng)安裝��,但缺少很多重要更新�����,也缺少提示�。用戶幾乎不可能知道實際安裝了哪些補丁。為了解決這個問題�,SRL實驗室發(fā)布了一個叫“SnoopSnitch”的Android應(yīng)用,它允許用戶查看手機的代碼����,以了解其安全更新的實際狀態(tài)。
SRL實驗室在測試那堆手機后��,制作了以下圖表,根據(jù)2017年10月之后打補丁的情況��,將廠商進行了分級�,漏裝0-1個補丁是最好的情況,有谷歌�,索尼,三星��,以及Wiko這個不知名的中國廠商��;小米���,一加,諾基亞平均丟了1-3個補�。欢鳫TC�����,華為��,LG和摩托羅拉這些知名廠商則丟了3-4個補����;TCL和中興丟了4個以上安全補丁,在榜單上表現(xiàn)最差——他們聲稱已經(jīng)安裝了�,但沒有。
即便大廠商,打補丁也不積極
低端芯片引發(fā)惡性循環(huán)
還有種情況是在手機芯片中發(fā)現(xiàn)了漏洞�,而不是在操作系統(tǒng)中。
如果按所使用芯片來分類的�����,三星的處理器就比較好�����,高通芯片也還行��,但使用中國臺灣聯(lián)發(fā)科(MediaTek)芯片的手機平均漏了9.7個補丁�����。
低價芯片低價手機沒有更新
這種情況跟手機定價有關(guān)��,低價手機一般使用的也是便宜芯片(比如聯(lián)發(fā)科就占比較大)��,對安全不太重視。手機制造商也不重視(或者沒能力重視)�,他們依賴芯片廠商提供補丁。
結(jié)果就是采用低端芯片的廉價手機會繼承芯片廠不注重安全的問題�����,最終導(dǎo)致如果你選擇便宜的手機�,會進入一種安全的惡性循環(huán),在這個生態(tài)系統(tǒng)中得到不太好的維護����。
谷歌:安全不止是打補丁
當(dāng)連線雜志就此事與谷歌公司聯(lián)系時,該公司回應(yīng)指出��,SRL分析的一些手機可能不是Android認(rèn)證的設(shè)備���,這意味著它們沒有被谷歌的安全標(biāo)準(zhǔn)所控制�。
另外���,谷歌指出,現(xiàn)在的Android手機即使有未修補的安全漏洞��,也很難破解�。他們認(rèn)為,在某些情況下��,設(shè)備可能漏掉一些補丁,因為手機廠商只是簡單粗暴地從手機上封堵一個易受攻擊的功能����,而不是修復(fù)。
谷歌表示他們正在與SRL實驗室合作��,進一步調(diào)查研究結(jié)果:“安全更新是保護安卓設(shè)備和用戶的眾多層面之一�����,內(nèi)置的平臺保護�,如應(yīng)用程序沙箱和安全服務(wù)、谷歌游戲保護同樣重要�。這些安全層結(jié)合了Android生態(tài)系統(tǒng)的多樣性�!
研究員Nohl并不認(rèn)同聽這種說法,安全補丁不止是數(shù)字問題(他是說每個安全補丁都應(yīng)該有)����;但他認(rèn)同谷歌“Android手機很難破解”的說法,Android 4.0之后����,程序在內(nèi)存的隨機分配位置,以及沙盒機制讓惡意軟件難以得逞。
現(xiàn)代的所謂的“手機攻擊”可以完全控制目標(biāo)Android手機����,但要利用手機軟件系統(tǒng)的一系列漏洞而不僅僅是一個。
對相較于“硬破解”的方式�����,更應(yīng)該防范的是軟破解����,就是那些那些在谷歌游戲商店中的流氓軟件,或者誘使用戶從一些不明安全源來安裝的軟件�。人們經(jīng)常被一些所謂的免費或盜版軟件誘騙,這種方式技術(shù)含量不高�����,其實屬于社會工程學(xué)范疇���。
之所以建議廠商和用戶把能有的安全補丁都裝好���,是為了防止零日漏洞(zero-day)����,一般被發(fā)現(xiàn)后立即被惡意利用���。在許多情況下,它們可能會使用已知的尚未修補漏洞協(xié)助攻擊�。所以才有“深度防御”的安全原則:每一個錯過的補丁都是潛在的一層保護。你不應(yīng)該給黑客留下潛在可能�,應(yīng)該安裝所有補丁。(曉光)
關(guān)注樓主