新浪手機(jī)訊 4月13日上午消息����,《連線》雜志最近做了一篇報(bào)道,揭開(kāi)了Android系統(tǒng)在安全補(bǔ)丁方面的亂象��,很多谷歌發(fā)布的安全補(bǔ)丁不僅延遲推送,甚至還有廠商告訴用戶已經(jīng)最新�,卻偷偷地跳過(guò)了該有的安全補(bǔ)丁。
“這些家伙只是更改日期�,根本沒(méi)裝補(bǔ)丁”
一直以來(lái),谷歌都在努力爭(zhēng)取讓幾十家Android智能手機(jī)制造商�����、以及數(shù)百家運(yùn)營(yíng)商���、定期推送安全更新,但是一家德國(guó)安全公司在針對(duì)數(shù)百臺(tái)Android手機(jī)進(jìn)行調(diào)查后���,發(fā)現(xiàn)了一個(gè)令人不安的新問(wèn)題:許多Android手機(jī)廠商不僅沒(méi)給用戶提供補(bǔ)丁����,或是延遲數(shù)月才發(fā)布����;甚至有時(shí)也會(huì)告訴用戶手機(jī)固件已經(jīng)是最新的,但卻偷偷地跳過(guò)了補(bǔ)丁�����。
周五,在阿姆斯特丹舉行的“Hack in the Box”黑客安全大會(huì)上��,研究人員查看了近兩年的數(shù)百款A(yù)ndroid手機(jī)系統(tǒng)代碼�����,大部分存在安全隱患��,缺一打補(bǔ)丁的手機(jī)不少見(jiàn)��。研究人員Nohl說(shuō):“雖然補(bǔ)丁很小�,但對(duì)手機(jī)安全很重要。最糟糕情況是�����,Android手機(jī)廠商在設(shè)備故意歪曲事實(shí)�。這些家伙只是在推送時(shí)候改了個(gè)更新日期,壓根沒(méi)有補(bǔ)丁�。”
安全機(jī)構(gòu)SRL測(cè)試了1200部手機(jī)����,這些設(shè)備有谷歌自己,以及三星����、摩托羅拉����、HTC等主要安卓手機(jī)廠商���,還有中興���,TCL等中國(guó)公司制造����。
他們發(fā)現(xiàn),除了谷歌自己如Pixel和Pixel 2等旗艦機(jī)�����,即使是頂級(jí)手機(jī)廠商在安全補(bǔ)丁這塊也相當(dāng)糊涂����,其他二三線廠商的更新記錄更是混亂。
研究人員Nohl說(shuō)����,這種假裝裝了補(bǔ)丁的問(wèn)題是最要命的����,他們告訴用戶有�,其實(shí)沒(méi)有,從而產(chǎn)生了一種虛假的安全感�。這是故意的欺騙。
大公司打補(bǔ)丁不積極
還有種更常見(jiàn)的情況是�,像索尼或三星這樣的大公司也會(huì)錯(cuò)過(guò)一兩個(gè)補(bǔ)丁。很多重要更新并沒(méi)有��,例如三星2016年的手機(jī)J5或J3��,非常坦誠(chéng)告訴用戶哪些補(bǔ)丁已經(jīng)安裝��,但缺少很多重要更新�,也缺少提示。用戶幾乎不可能知道實(shí)際安裝了哪些補(bǔ)丁�。為了解決這個(gè)問(wèn)題,SRL實(shí)驗(yàn)室發(fā)布了一個(gè)叫“SnoopSnitch”的Android應(yīng)用����,它允許用戶查看手機(jī)的代碼,以了解其安全更新的實(shí)際狀態(tài)��。
SRL實(shí)驗(yàn)室在測(cè)試那堆手機(jī)后,制作了以下圖表�,根據(jù)2017年10月之后打補(bǔ)丁的情況,將廠商進(jìn)行了分級(jí)��,漏裝0-1個(gè)補(bǔ)丁是最好的情況����,有谷歌,索尼��,三星���,以及Wiko這個(gè)不知名的中國(guó)廠商���;小米�,一加,諾基亞平均丟了1-3個(gè)補(bǔ)�������;而HTC���,華為����,LG和摩托羅拉這些知名廠商則丟了3-4個(gè)補(bǔ)丁�;TCL和中興丟了4個(gè)以上安全補(bǔ)丁,在榜單上表現(xiàn)最差——他們聲稱已經(jīng)安裝了�����,但沒(méi)有�����。
即便大廠商��,打補(bǔ)丁也不積極
低端芯片引發(fā)惡性循環(huán)
還有種情況是在手機(jī)芯片中發(fā)現(xiàn)了漏洞��,而不是在操作系統(tǒng)中���。
如果按所使用芯片來(lái)分類的����,三星的處理器就比較好,高通芯片也還行��,但使用中國(guó)臺(tái)灣聯(lián)發(fā)科(MediaTek)芯片的手機(jī)平均漏了9.7個(gè)補(bǔ)丁�����。
低價(jià)芯片低價(jià)手機(jī)沒(méi)有更新
這種情況跟手機(jī)定價(jià)有關(guān)����,低價(jià)手機(jī)一般使用的也是便宜芯片(比如聯(lián)發(fā)科就占比較大),對(duì)安全不太重視�����。手機(jī)制造商也不重視(或者沒(méi)能力重視)���,他們依賴芯片廠商提供補(bǔ)丁�。
結(jié)果就是采用低端芯片的廉價(jià)手機(jī)會(huì)繼承芯片廠不注重安全的問(wèn)題�����,最終導(dǎo)致如果你選擇便宜的手機(jī)����,會(huì)進(jìn)入一種安全的惡性循環(huán),在這個(gè)生態(tài)系統(tǒng)中得到不太好的維護(hù)�。
谷歌:安全不止是打補(bǔ)丁
當(dāng)連線雜志就此事與谷歌公司聯(lián)系時(shí),該公司回應(yīng)指出��,SRL分析的一些手機(jī)可能不是Android認(rèn)證的設(shè)備�,這意味著它們沒(méi)有被谷歌的安全標(biāo)準(zhǔn)所控制。
另外�����,谷歌指出���,現(xiàn)在的Android手機(jī)即使有未修補(bǔ)的安全漏洞��,也很難破解����。他們認(rèn)為�,在某些情況下����,設(shè)備可能漏掉一些補(bǔ)丁��,因?yàn)槭謾C(jī)廠商只是簡(jiǎn)單粗暴地從手機(jī)上封堵一個(gè)易受攻擊的功能���,而不是修復(fù)���。
谷歌表示他們正在與SRL實(shí)驗(yàn)室合作����,進(jìn)一步調(diào)查研究結(jié)果:“安全更新是保護(hù)安卓設(shè)備和用戶的眾多層面之一,內(nèi)置的平臺(tái)保護(hù)��,如應(yīng)用程序沙箱和安全服務(wù)、谷歌游戲保護(hù)同樣重要����。這些安全層結(jié)合了Android生態(tài)系統(tǒng)的多樣性����。”
研究員Nohl并不認(rèn)同聽(tīng)這種說(shuō)法����,安全補(bǔ)丁不止是數(shù)字問(wèn)題(他是說(shuō)每個(gè)安全補(bǔ)丁都應(yīng)該有);但他認(rèn)同谷歌“Android手機(jī)很難破解”的說(shuō)法�����,Android 4.0之后,程序在內(nèi)存的隨機(jī)分配位置�����,以及沙盒機(jī)制讓惡意軟件難以得逞。
現(xiàn)代的所謂的“手機(jī)攻擊”可以完全控制目標(biāo)Android手機(jī)�����,但要利用手機(jī)軟件系統(tǒng)的一系列漏洞而不僅僅是一個(gè)�。
對(duì)相較于“硬破解”的方式�����,更應(yīng)該防范的是軟破解���,就是那些那些在谷歌游戲商店中的流氓軟件�,或者誘使用戶從一些不明安全源來(lái)安裝的軟件����。人們經(jīng)常被一些所謂的免費(fèi)或盜版軟件誘騙��,這種方式技術(shù)含量不高,其實(shí)屬于社會(huì)工程學(xué)范疇����。
之所以建議廠商和用戶把能有的安全補(bǔ)丁都裝好,是為了防止零日漏洞(zero-day)����,一般被發(fā)現(xiàn)后立即被惡意利用�����。在許多情況下����,它們可能會(huì)使用已知的尚未修補(bǔ)漏洞協(xié)助攻擊�����。所以才有“深度防御”的安全原則:每一個(gè)錯(cuò)過(guò)的補(bǔ)丁都是潛在的一層保護(hù)��。你不應(yīng)該給黑客留下潛在可能�,應(yīng)該安裝所有補(bǔ)丁。(曉光)
關(guān)注樓主