過(guò)去 2 年時(shí)間�����,Google 和 Android 手機(jī)廠商已經(jīng)改善了安全補(bǔ)丁的更新速度����。從 2016 年開(kāi)始�,Google 保持著每月更新 Android 安全補(bǔ)丁的進(jìn)度,面對(duì)漏洞的反應(yīng)速度比以往要快不少��。
這批安全補(bǔ)丁何時(shí)到達(dá) Android 手機(jī)用戶手里�����,還要取決于手機(jī)機(jī)型,Android 手機(jī)廠商可能還涉及到運(yùn)營(yíng)商(比如美國(guó))����。
現(xiàn)在,有個(gè)執(zhí)行層面的問(wèn)題被暴露出來(lái)��。即便承諾更新安全補(bǔ)丁��,大部分 Android 手機(jī)廠商可能會(huì)漏掉數(shù)個(gè)安全補(bǔ)丁���。少數(shù)廠商甚至不安裝補(bǔ)丁���,通過(guò)修改安全補(bǔ)丁的時(shí)間,讓用戶以為系統(tǒng)已經(jīng)升級(jí)到最新版本���。這意味著 Android 手機(jī)廠商在手機(jī)安全性上可能隱瞞了信息����。
在 13 日荷蘭阿姆斯特丹的安全會(huì)議 Hack in the Box 上����,安全公司安全研究實(shí)驗(yàn)室(SRL)的兩名研究員公布了一份針對(duì)數(shù)百臺(tái) Android 機(jī)型 2 年的研究報(bào)告,探討了這個(gè)問(wèn)題�。
部分信息已經(jīng)公布在 SRL 實(shí)驗(yàn)室官網(wǎng)��,《連線》雜志對(duì) SRL 實(shí)驗(yàn)室創(chuàng)始人 Karsten Nohl 的采訪也探討了該問(wèn)題。更詳細(xì)的報(bào)告需要等待 SRL 演講結(jié)束后才會(huì)公布在網(wǎng)上�����。
根據(jù) SRL 提供的部分報(bào)告信息����,以及《連線》的采訪,SRL 實(shí)驗(yàn)室的報(bào)告稱��,Android 手機(jī)廠商在及時(shí)更新安全補(bǔ)丁上存在可信度的問(wèn)題��,大部分手機(jī)廠商都缺失了數(shù)個(gè)安全補(bǔ)丁沒(méi)安裝�����。
抽樣部分:少量(Few)代表 5-9 款���;很多(Many)代表 10-49 款����,大量(Lots)指的是 50 款以上|圖片來(lái)自:SRL 實(shí)驗(yàn)室
報(bào)告稱��,一部分原因可能跟手機(jī)廠商有關(guān),小米�����、諾基亞旗下的機(jī)型平均有 1-3 個(gè)安全補(bǔ)丁沒(méi)有安裝�����;還有部分原因來(lái)自于芯片公司���。如果是芯片硬件層面的漏洞���,Android 手機(jī)廠商就需要獲得芯片公司提供的補(bǔ)丁。通常來(lái)說(shuō)���,廉價(jià)機(jī)型使用低端芯片����,也就導(dǎo)致了廉價(jià)機(jī)型容易出現(xiàn)更多漏洞���。
根據(jù)芯片廠商不同�,手機(jī)安全補(bǔ)丁漏掉的數(shù)量|圖片來(lái)自:《連線》
即便是廉價(jià)機(jī)型,待遇也會(huì)有差別��。在報(bào)告中���,SRL 實(shí)驗(yàn)室以三星的 2 款廉價(jià)手機(jī)作為案例�。三星 2016 年推出的兩款手機(jī) J3 聲稱安裝了所有 2017 年發(fā)布的安全補(bǔ)丁��,但事實(shí)上少了 12 個(gè)��。同年推出的 J5 機(jī)型則會(huì)告訴用戶�,哪些補(bǔ)丁尚未安裝��。
SRL 實(shí)驗(yàn)室針對(duì) 1200 款手機(jī)的 Android 系統(tǒng)代碼進(jìn)行逆向工程���,研究 2017 年發(fā)布的安全補(bǔ)丁是否確實(shí)安裝在系統(tǒng)內(nèi)���。手機(jī)機(jī)型需要符合的標(biāo)準(zhǔn)是,這些機(jī)型在 2017 年 10 月或更晚安裝過(guò)一次安全補(bǔ)丁�����。
1200 款手機(jī)來(lái)自于目前主要的 Android 手機(jī)廠商�,包括華為、小米、三星這 3 家銷量最大的公司���,還有一加�、HTC��、LG�、摩托羅拉等品牌。
還有個(gè)更常見(jiàn)的現(xiàn)象是����,老舊機(jī)型的安全補(bǔ)丁更新不及時(shí)。SRL 實(shí)驗(yàn)室的創(chuàng)始人 Karsten Nohl 稱��,Android 手機(jī)廠商忽視老舊機(jī)型上的系統(tǒng)升級(jí)�、安裝安全補(bǔ)丁,是一種常見(jiàn)的現(xiàn)象����。
但值得注意的是,該報(bào)告對(duì)于手機(jī)廠商�、手機(jī)機(jī)型的篩選存在一定的問(wèn)題。OPPO�、vivo 這兩個(gè) Android 手機(jī)廠商不在內(nèi),只有幾款 Pixel 手機(jī)的 Google 抽樣了 50 多臺(tái)設(shè)備����。
但沒(méi)有安裝某個(gè)安全補(bǔ)丁��,并不意味著 Android 手機(jī)就容易被攻擊����。SRL 實(shí)驗(yàn)室也提到了這點(diǎn)��。
針對(duì) SRL 的報(bào)告����,Google 對(duì)《連線》雜志做出了回應(yīng)����,對(duì) Android 手機(jī)沒(méi)有安裝部分安全補(bǔ)丁做了解釋,還說(shuō)會(huì)跟 SRL 實(shí)驗(yàn)室合作做進(jìn)一步調(diào)查���。Google 解釋稱����,部分 Android 手機(jī)廠商甚至可能直接去掉了部分存在漏洞的功能��,或者部分手機(jī)就不存在需要通過(guò)安裝補(bǔ)丁修復(fù)的功能�。
另一方面,即便安全補(bǔ)丁沒(méi)有安裝,現(xiàn)在的 Android 手機(jī)配置的安全功能使其難以被攻擊�。Google 方面回應(yīng)稱,安全更新只是用于保護(hù) Android 設(shè)備和用戶的一層�。其他還包括沙盒機(jī)制、Google Play Protect 安全服務(wù)等�����。
在 2016 年的 Stagefright 漏洞事件后�,Google 以及部分 Android 廠商已經(jīng)加快了安全補(bǔ)丁的更新速度。但進(jìn)展仍然不夠快�����。
去年 3 月份��,Google 在年度反饋中還公布了一份 16 款 Android 手機(jī)名單����,顯示那些已經(jīng)可以每月及時(shí)獲取安全補(bǔ)丁更新的機(jī)型,其中 6 款都是 Google 旗下的 Nexus����、Pixel 手機(jī)品牌。三星����、OPPO��、vivo 各有一款機(jī)型在內(nèi)��。
題圖來(lái)自:Pixabay
關(guān)注樓主