過去 2 年時(shí)間，Google 和 Android 手機(jī)廠商已經(jīng)改善了安全補(bǔ)丁的更新速度。從 2016 年開始，Google 保持著每月更新 Android 安全補(bǔ)丁的進(jìn)度，面對漏洞的反應(yīng)速度比以往要快不少。

這批安全補(bǔ)丁何時(shí)到達(dá) Android 手機(jī)用戶手里，還要取決于手機(jī)機(jī)型，Android 手機(jī)廠商可能還涉及到運(yùn)營商（比如美國）。

現(xiàn)在，有個(gè)執(zhí)行層面的問題被暴露出來。即便承諾更新安全補(bǔ)丁，大部分 Android 手機(jī)廠商可能會(huì)漏掉數(shù)個(gè)安全補(bǔ)丁。少數(shù)廠商甚至不安裝補(bǔ)丁，通過修改安全補(bǔ)丁的時(shí)間，讓用戶以為系統(tǒng)已經(jīng)升級(jí)到最新版本。這意味著 Android 手機(jī)廠商在手機(jī)安全性上可能隱瞞了信息。

在 13 日荷蘭阿姆斯特丹的安全會(huì)議 Hack in the Box 上，安全公司安全研究實(shí)驗(yàn)室（SRL）的兩名研究員公布了一份針對數(shù)百臺(tái) Android 機(jī)型 2 年的研究報(bào)告，探討了這個(gè)問題。

部分信息已經(jīng)公布在 SRL 實(shí)驗(yàn)室官網(wǎng)，《連線》雜志對 SRL 實(shí)驗(yàn)室創(chuàng)始人 Karsten Nohl 的采訪也探討了該問題。更詳細(xì)的報(bào)告需要等待 SRL 演講結(jié)束后才會(huì)公布在網(wǎng)上。

根據(jù) SRL 提供的部分報(bào)告信息，以及《連線》的采訪，SRL 實(shí)驗(yàn)室的報(bào)告稱，Android 手機(jī)廠商在及時(shí)更新安全補(bǔ)丁上存在可信度的問題，大部分手機(jī)廠商都缺失了數(shù)個(gè)安全補(bǔ)丁沒安裝。

抽樣部分：少量（Few）代表 5-9 款；很多（Many）代表 10-49 款，大量（Lots）指的是 50 款以上｜圖片來自：SRL 實(shí)驗(yàn)室

報(bào)告稱，一部分原因可能跟手機(jī)廠商有關(guān)，小米、諾基亞旗下的機(jī)型平均有 1-3 個(gè)安全補(bǔ)丁沒有安裝；還有部分原因來自于芯片公司。如果是芯片硬件層面的漏洞，Android 手機(jī)廠商就需要獲得芯片公司提供的補(bǔ)丁。通常來說，廉價(jià)機(jī)型使用低端芯片，也就導(dǎo)致了廉價(jià)機(jī)型容易出現(xiàn)更多漏洞。

根據(jù)芯片廠商不同，手機(jī)安全補(bǔ)丁漏掉的數(shù)量｜圖片來自：《連線》

即便是廉價(jià)機(jī)型，待遇也會(huì)有差別。在報(bào)告中，SRL 實(shí)驗(yàn)室以三星的 2 款廉價(jià)手機(jī)作為案例。三星 2016 年推出的兩款手機(jī) J3 聲稱安裝了所有 2017 年發(fā)布的安全補(bǔ)丁，但事實(shí)上少了 12 個(gè)。同年推出的 J5 機(jī)型則會(huì)告訴用戶，哪些補(bǔ)丁尚未安裝。

SRL 實(shí)驗(yàn)室針對 1200 款手機(jī)的 Android 系統(tǒng)代碼進(jìn)行逆向工程，研究 2017 年發(fā)布的安全補(bǔ)丁是否確實(shí)安裝在系統(tǒng)內(nèi)。手機(jī)機(jī)型需要符合的標(biāo)準(zhǔn)是，這些機(jī)型在 2017 年 10 月或更晚安裝過一次安全補(bǔ)丁。

1200 款手機(jī)來自于目前主要的 Android 手機(jī)廠商，包括華為、小米、三星這 3 家銷量最大的公司，還有一加、HTC、LG、摩托羅拉等品牌。

還有個(gè)更常見的現(xiàn)象是，老舊機(jī)型的安全補(bǔ)丁更新不及時(shí)。SRL 實(shí)驗(yàn)室的創(chuàng)始人 Karsten Nohl 稱，Android 手機(jī)廠商忽視老舊機(jī)型上的系統(tǒng)升級(jí)、安裝安全補(bǔ)丁，是一種常見的現(xiàn)象。

但值得注意的是，該報(bào)告對于手機(jī)廠商、手機(jī)機(jī)型的篩選存在一定的問題。OPPO、vivo 這兩個(gè) Android 手機(jī)廠商不在內(nèi)，只有幾款 Pixel 手機(jī)的 Google 抽樣了 50 多臺(tái)設(shè)備。

但沒有安裝某個(gè)安全補(bǔ)丁，并不意味著 Android 手機(jī)就容易被攻擊。SRL 實(shí)驗(yàn)室也提到了這點(diǎn)。

針對 SRL 的報(bào)告，Google 對《連線》雜志做出了回應(yīng)，對 Android 手機(jī)沒有安裝部分安全補(bǔ)丁做了解釋，還說會(huì)跟 SRL 實(shí)驗(yàn)室合作做進(jìn)一步調(diào)查。Google 解釋稱，部分 Android 手機(jī)廠商甚至可能直接去掉了部分存在漏洞的功能，或者部分手機(jī)就不存在需要通過安裝補(bǔ)丁修復(fù)的功能。

另一方面，即便安全補(bǔ)丁沒有安裝，現(xiàn)在的 Android 手機(jī)配置的安全功能使其難以被攻擊。Google 方面回應(yīng)稱，安全更新只是用于保護(hù) Android 設(shè)備和用戶的一層。其他還包括沙盒機(jī)制、Google Play Protect 安全服務(wù)等。

在 2016 年的 Stagefright 漏洞事件后，Google 以及部分 Android 廠商已經(jīng)加快了安全補(bǔ)丁的更新速度。但進(jìn)展仍然不夠快。

去年 3 月份，Google 在年度反饋中還公布了一份 16 款 Android 手機(jī)名單，顯示那些已經(jīng)可以每月及時(shí)獲取安全補(bǔ)丁更新的機(jī)型，其中 6 款都是 Google 旗下的 Nexus、Pixel 手機(jī)品牌。三星、OPPO、vivo 各有一款機(jī)型在內(nèi)。

題圖來自：Pixabay