Android系統亂象:安全更新就改個日期 根本沒裝補丁
2018年04月13日11:39

  新浪手機訊 4月13日上午消息,《連線》雜誌最近做了一篇報導,揭開了Android系統在安全補丁方面的亂象,很多Google發佈的安全補丁不僅延遲推送,甚至還有廠商告訴用戶已經最新,卻偷偷地跳過了該有的安全補丁。

  “這些傢伙只是更改日期,根本沒裝補丁”

  一直以來,Google都在努力爭取讓幾十家Android智能手機製造商、以及數百家運營商、定期推送安全更新,但是一家德國安全公司在針對數百台Android手機進行調查後,發現了一個令人不安的新問題:許多Android手機廠商不僅沒給用戶提供補丁,或是延遲數月才發佈;甚至有時也會告訴用戶手機固件已經是最新的,但卻偷偷地跳過了補丁。

  週五,在阿姆斯特丹舉行的“Hack in the Box”駭客安全大會上,研究人員查看了近兩年的數百款Android手機系統代碼,大部分存在安全隱患,缺一打補丁的手機不少見。研究人員Nohl說:“雖然補丁很小,但對手機安全很重要。最糟糕情況是,Android手機廠商在設備故意歪曲事實。這些傢伙只是在推送時候改了個更新日期,壓根沒有補丁。”

  安全機構SRL測試了1200部手機,這些設備有Google自己,以及Samsung、Motorola、HTC等主要Android手機廠商,還有中興,TCL等中國公司製造。

  他們發現,除了Google自己如Pixel和Pixel 2等旗艦機,即使是頂級手機廠商在安全補丁這塊也相當糊塗,其他二三線廠商的更新記錄更是混亂。

  研究人員Nohl說,這種假裝裝了補丁的問題是最要命的,他們告訴用戶有,其實沒有,從而產生了一種虛假的安全感。這是故意的欺騙。”

  大公司打補丁不積極

  還有種更常見的情況是,像Sony或Samsung這樣的大公司也會錯過一兩個補丁。很多重要更新並沒有,例如Samsung2016年的手機J5或J3,非常坦誠告訴用戶哪些補丁已經安裝,但缺少很多重要更新,也缺少提示。用戶幾乎不可能知道實際安裝了哪些補丁。為瞭解決這個問題,SRL實驗室發佈了一個叫“SnoopSnitch”的Android應用,它允許用戶查看手機的代碼,以瞭解其安全更新的實際狀態。

  SRL實驗室在測試那堆手機後,製作了以下圖表,根據2017年10月之後打補丁的情況,將廠商進行了分級,漏裝0-1個補丁是最好的情況,有Google,Sony,Samsung,以及Wiko這個不知名的中國廠商;小米,以及,Nokia平均丟了1-3個補丁;而HTC,華為,LG和Motorola這些知名廠商則丟了3-4個補丁;TCL和中興丟了4個以上安全補丁,在榜單上表現最差――他們聲稱已經安裝了,但沒有。

即便大廠商,打補丁也不積極
即便大廠商,打補丁也不積極

  低端芯片引發惡性循環

  還有種情況是在手機芯片中發現了漏洞,而不是在操作系統中。

  如果按所使用芯片來分類的,Samsung的處理器就比較好,高通芯片也還行,但使用中國台灣聯發科(MediaTek)芯片的手機平均漏了9.7個補丁。

低價芯片低價手機沒有更新
低價芯片低價手機沒有更新

  這種情況跟手機定價有關,低價手機一般使用的也是便宜芯片(比如聯發科就佔比較大),對安全也不太重視。手機製造商也不重視,依賴芯片廠商提供補丁。

  結果就是從採用低端芯片的廉價手機,會繼承芯片廠不注重安全的問題,最終導致如果你選擇便宜的手機,會進入一種安全的惡性循環,在這個生態系統中得到不太好的維護。

  Google:安全不止是打補丁

  當連線雜誌就此事與Google公司聯繫時,該公司回應指出,SRL分析的一些手機可能不是Android認證的設備,這意味著它們沒有被Google的安全標準所控製。

  另外,Google指出,現在的Android手機即使有未修補的安全漏洞,也很難破解。他們認為,在某些情況下,設備可能漏掉一些補丁,因為手機廠商只是簡單粗暴地從手機上封堵一個易受攻擊的功能,而不是修復。

  Google表示他們正在與SRL實驗室合作,進一步調查研究結果:“安全更新是保護Android設備和用戶的眾多層面之一,內置的平台保護,如應用程式沙箱和安全服務、Google遊戲保護同樣重要。這些安全層結合了Android生態系統的多樣性。”

  研究員Nohl並不認同聽這種說法,安全補丁不止是數字問題(他是說每個安全補丁都應該有);但他認同Google“Android手機很難破解”的說法,Android 4.0之後,程式在內存的隨機分配位置,以及沙盒機製讓惡意軟件難以得逞。

  現代的所謂的“手機攻擊”可以完全控製目標Android手機,但要利用手機軟件系統的一系列漏洞而不僅僅是一個。

  對相較於“硬破解”的方式,更應該防範的是軟破解,就是那些那些在Google遊戲商店中的流氓軟件,或者誘使用戶從一些不明安全源來安裝的軟件。人們經常被一些所謂的免費或盜版軟件誘騙,這種方式技術含量不高,其實屬於社會工程學範疇。

  之所以建議廠商和用戶把能有的安全補丁都裝好,是為了防止零日漏洞(zero-day),一般被發現後立即被惡意利用。在許多情況下,它們可能會使用已知的尚未修補漏洞協助攻擊。所以才有“深度防禦”的安全原則:每一個錯過的補丁都是潛在的一層保護。你不應該給駭客留下潛在可能,應該安裝所有補丁。(曉光)

關注我們Facebook專頁
    相關新聞
      更多瀏覽