在阿姆斯特丹举办的Hack in the Box安全会议上, Security Research公司的研究人员Karsten Nohl和Jakob Lell介绍, 他们针对最近两年上市的数百台Android智能手机的操作系统代码进行了逆向分析, 详细的对每台设备实际安装的安全补丁进行了研究. 他们发现所谓的 '补丁门' : 在一些情况下部分厂商会通知用户已经安装了所有特定日期发布的安全补丁, 但实际上并未提供这项服务, 只是虚假的通知, 因此这些设备非常容易受到黑客的攻击.
'我们发现, 实际修补和厂商声称已经完成修复之间的漏洞数量存在差别. ' 著名安全研究人员, SRL创始人Nohl表示. 他说, 最糟糕的情况下, Android手机制造商会故意篡改设备上次修复漏洞的时间. '有些厂商会在未安装补丁的情况下更改系统更新日期. 出于营销的原因, 他们只是将补丁的安装日期设置为特定时间, 只是追求看起来很安全而已. '
选择性忽略
SRL在2017年统计了Android系统的每一次安全更新, 测试了来自于十几家智能手机厂商超过1200部手机的固件, 这些设备来自于谷歌, 三星, 摩托罗拉, HTC等主流Android手机厂商以及中兴, TCL等新兴制造商. 他们发现, 除了谷歌自己的Pixel和Pixel 2等机型之外, 就算是国际顶级厂商有时也会谎称自己为产品安装了实际上并未发布的补丁更新. 而二三线厂商的记录则更加糟糕.
Nohl指出, 这是一种比放弃更新后果更严重的行为, 并且已经成为了智能手机领域中常见的现象. 在其实并未采取任何行动的情况下告诉用户修复了漏洞, 为用户营造出了一种 '虚假' 的安全感. Nohl说: '我们发现有几家厂商并未安装某些补丁, 但却修改系统最后更新的日期, 这是一种故意欺骗的行为, 但并不普遍. '
Nohl认为, 更常见的情况是像索尼或三星这样的顶级厂商, 会因为某些意外错过一两个补丁更新. 但在不同的机型身上, 却出现了不同的情况: 比如三星的2016款Galaxy J5机型, 就会非常清晰的告诉用户已经安装了哪些补丁, 哪些补丁没有更新. 但在2016款Galaxy J3的身上, 三星声称所有补丁都已经发布, 但经过调查发现依然缺少了12个非常关键的更新.
'考虑到这是一种隐性机型差异, 用户几乎不可能了解自己实际上究竟安装了哪些更新, ' Nohl说. 为了解决这种补丁更新缺乏透明度的情况, SRL Labs还发布了一项针对旗下Android平台SnoopSnitch应用的更新, 用户可以输入自己的手机代码, 随时查看安全更新的真实状况.
不同厂商情况不同
在对每个供应商的产品进行评估之后, SRL Labs制作了下面这组图表, 将智能手机厂商分成了三个类别, 分类的依据为各自在2017年对外宣和实际安装补丁数的匹配程度, 包括在2017年10月或之后至少收到一次更新的机型. 包括小米, 诺基亚在内的主要安卓厂商, 平均有1到3个补丁 '丢失' , 而HTC, 摩托罗拉, LG和华为有3到4个补丁 '丢失' , TCL和中兴排名最后, 丢失的补丁数超过4个. 而谷歌, 索尼, 三星等错过的补丁更新数量小于等于1.
SRL还指出, 芯片供应商是补丁缺失的一个原因. 比如使用三星芯片的机型很少会出现悄悄忽略更新的问题, 而使用联发科芯片的设备, 平均补丁缺失高达9.7个. 在某些情况下, 很有可能就是因为由于使用了更廉价的芯片, 补丁缺失的概率就更高. 还有一种情况就是因为漏洞出现在芯片层面而并非系统层面, 因此手机制造商要依赖芯片厂商才会完成进一步更新. 结果是从低端供应商那里采购芯片的廉价智能手机也延续了 '补丁缺失' 的问题. '经过我们的验证, 如果你选择了一款比较便宜的产品, 那么在安卓生态系统中, 就会处于一个比较不受重视的地位. ' Nohl表示.
在《连线》杂志联系谷歌后, 谷歌对SRL的研究表示赞赏, 但同时回应指出, SRL分析的部分设备可能并没有经过安卓系统认证, 这意味着它们并不受谷歌安全标准的限制. 谷歌表示, 安卓智能手机有安全功能, 就算在没有补丁的情况下, 安全漏洞也很难被破解. 在某些情况下, 之所以会出现 '补丁丢失' 的问题, 是因为手机厂商只是将某种易受攻击的功能简单的移除而不是修复, 或者某些手机在一开始就没有这项功能.
谷歌表示将与SRL Labs合作, 进一步进行深入调查. '安全更新是保护Android设备和用户的众多层级之一, ' Android产品安全主管Scott Roberts在《连线》杂志上发表声明. '系统内置的平台保护系统, 比如应用程序沙盒和Google Play Protect安全服务也同样重要. 这些多层次的安全手段, 再加上Android生态系统的多样性, 让研究人员得出了这样的结论, 即Android设备的远程开发仍然充满了挑战性. '
为了回应谷歌针对厂商由于移除了易受攻击的功能而导致补丁缺失的结论, Nohl反驳称, 这种情况并不常见, 发生的概率并不大.
补丁缺失影响有限
不过让人意外的是, Nohl对谷歌的另一个说法表示同意: 通过利用缺失的补丁对Android手机进行攻击, 其实并不是一件容易的事情. 甚至一些没有更新补丁的Android手机在系统更广泛的安全措施保护下, 恶意软件依然难以对漏洞加以利用, 像从Android 4.0 Lollipop开始出现的沙盒等功能, 限制了恶意程序访问设备概率.
这就意味着大多数的黑客如果利用某个所谓的 '漏洞' 来获得Android设备的控制权, 需要利用一系列的漏洞, 而不仅仅只是因为缺失一个补丁而攻击成功. Nohl表示: '即使错过了某些补丁, 依然可以依靠系统其它的安全特性抵御大部分的攻击. '
因此, Nohl表示, Android设备更容易被一些比较简单的方式破解, 比如在Google Play商店中出现的那些恶意应用, 或者在非官方应用商店安装的App. Nohl说: '用户安装了盗版或恶意软件, 就更容易成为黑客攻击的目标. '